Pohjois-Korean valtion tukema Lazarus Group näyttää lisänneen monimutkaisen ja edelleen kehittyvän uuden takaoven haittaohjelmaarsenaaliinsa, mikä havaittiin ensimmäisen kerran espanjalaisen ilmailualan yrityksen onnistuneessa kyberkompromississa.
Haittaohjelman löytäneet ESETin tutkijat seuraavat uutta uhkaa nimellä "LightlessCan" ja uskovat sen perustuvan uhkaryhmän lippulaivan BlindingCan Remote Access Trojan (RAT) lähdekoodiin.
Lazarus on Pohjois-Korean valtion tukema uhkaryhmä, johon Yhdysvaltain organisaatiot ja yritysten turvallisuustiimit ovat vuosien varrella tulleet hyvin tutuksi. Siitä lähtien, kun Lazarus-ryhmä saavutti laajalti mainetta tuhoisella hyökkäyksellä Sony Picturesia vastaan vuonna 2014, Lazarus-ryhmä on vakiinnuttanut asemansa yhdeksi tällä hetkellä toimivista tuhoisimmista kehittyneistä jatkuvista uhista (APT). Vuosien mittaan se on varastanut kymmeniä miljoonia dollareita hyökkäyksillä pankkeja ja muita rahoituslaitoksia vastaan; poistettiin teratavuja arkaluonteista tietoa puolustusurakoitsijat, valtion virastot, terveydenhuoltojärjestöt ja energiayritykset; ja teloitettiin useita kryptovaluuttojen ryöstöt ja toimitusketjun hyökkäykset.
Spear-phishing metana alkukäyttöä varten
ESETin analyysi espanjalaiseen ilmailu- ja avaruusyhtiöön kohdistuvasta hyökkäyksestä osoitti, että Lazarus-toimijat pääsivät alkuun onnistuneella keihäs-phishing-kampanjalla, joka oli kohdistettu tiettyihin yrityksen työntekijöihin. Uhkanäyttelijä naamioitui Facebookin vanhemman Metan rekrytoijaksi ja otti yhteyttä ilmailualan yrityksen kehittäjiin LinkedIn Messagingin kautta.
Työntekijä, joka huijattiin seuraamaan alkuperäistä viestiä, sai kaksi koodaushaastetta, joiden tarkoituksena oli oletettavasti tarkistaa työntekijän C++-ohjelmointikielen taito. Todellisuudessa koodaushaasteet – joita isännöivät kolmannen osapuolen pilvitallennusalustalla – sisälsivät haitallisia suoritettavia tiedostoja, jotka vaikeuttivat lisäkuormia työntekijän järjestelmään, kun he yrittivät ratkaista haasteen.
Ensimmäinen näistä hyötykuormista oli HTTPS-latausohjelma, jonka ESET-tutkijat kutsuivat NickelLoaderiksi. Työkalu periaatteessa antoi Lazarus-ryhmän toimijoille mahdollisuuden ottaa käyttöön minkä tahansa valitsemansa ohjelman vaarantuneen järjestelmän muistiin. Tässä tapauksessa Lazarus-ryhmä käytti NickelLoaderia pudottaakseen kaksi RAT:ia - rajoitetun toiminnon version BlindingCanista ja LightlessCan-takaovista. BlindingCanin yksinkertaistetun version, jonka ESET on antanut nimeksi miniBlindingCan, tehtävänä on kerätä järjestelmätietoja, kuten tietokoneen nimi, Windows-versio ja määritystiedot, sekä vastaanottaa ja suorittaa komentoja komento- ja ohjauspalvelimelta (C2). .
ESET-tutkijan mukaan LightlessCan on merkittävä uusi uhka organisaatioille, joihin Lazarus-ryhmä on kohdistettu. Peter Kálnai kirjoitti blogikirjoituksessaan äskettäin löydetyt haittaohjelmat.
Haittaohjelman suunnittelu antaa Lazarus-ryhmän toimijoille tavan estää merkittävästi haitallisen toiminnan jälkiä vaarantuneissa järjestelmissä, mikä rajoittaa reaaliaikaisten valvontalaitteiden ja rikosteknisten työkalujen kykyä havaita se.
ROT, joka piiloutuu reaaliaikaisista valvonta- ja oikeuslääketieteellisistä työkaluista
LightlessCan integroi tuen jopa 68 erilliselle komennolle, joista monet jäljittelevät alkuperäisiä Windowsin komentoja, kuten ping, ipconfig, systeminfo ja verkko järjestelmä- ja ympäristötietojen keräämiseksi. Vain 43 näistä komennoista on tällä hetkellä todella toimivia - loput ovat eräänlaisia paikkamerkkejä, joista uhkatoimija oletettavasti tekee täysin toimivia jossain myöhemmässä vaiheessa, mikä viittaa siihen, että työkalu on vielä kehitteillä.
"RAT:n takana oleva projekti perustuu ehdottomasti BlindingCan-lähdekoodiin, sillä jaettujen komentojen järjestys säilyy merkittävästi, vaikka niiden indeksoinnissa voi olla eroja", Kálnai selitti blogikirjoituksessaan.
LightlessCan näyttää kuitenkin olevan huomattavasti edistyneempi kuin BoundlessCan. Uusi troijalainen mahdollistaa muun muassa alkuperäisten Windows-komentojen suorittamisen RAT:n sisällä.
"Tämä lähestymistapa tarjoaa merkittävän edun varkain, niin reaaliaikaisten valvontaratkaisujen, kuten päätepisteiden havaitsemisen ja vastauksen (EDR) ja kuolemanjälkeisten digitaalisten rikosteknisten työkalujen välttämisessä", Kálnai kirjoitti.
Uhkatoimija on myös väärentänyt LightlessCanin siten, että sen salattu hyötykuorma voidaan purkaa vain käyttämällä salauksenpurkuavainta, joka on ominaista vaarantuneelle koneelle. Tavoitteena on varmistaa, että hyötykuorman salauksen purku on mahdollista vain kohdejärjestelmissä, ei missään muussa ympäristössä, Kálnai huomautti, kuten turvallisuustutkijalle kuuluva järjestelmä.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace
- :on
- :On
- :ei
- $ YLÖS
- 2014
- 7
- a
- kyky
- pääsy
- Mukaan
- aktiivinen
- toiminta
- toimijoiden
- todella
- lisä-
- lisä-
- kehittynyt
- Etu
- Aerospace
- ilmailualan yritys
- virastojen
- sallittu
- Myös
- keskuudessa
- an
- analyysi
- ja
- Kaikki
- näyttää
- lähestymistapa
- APT
- OVAT
- Arsenal
- AS
- At
- hyökkäys
- Hyökkäykset
- yritettiin
- takaoven
- Pankit
- perustua
- Pohjimmiltaan
- BE
- tulevat
- takana
- Uskoa
- kuuluvat
- Blogi
- sekä
- C + +
- Kampanja
- CAN
- tapaus
- ketju
- haaste
- haasteet
- tarkastaa
- valinta
- pilvi
- Cloud Storage
- koodi
- Koodaus
- kerätä
- yritys
- monimutkainen
- kompromissi
- Vaarantunut
- tietokone
- Konfigurointi
- sisältää
- sisälsi
- valvonta
- Tällä hetkellä
- cyber
- tiedot
- ehdottomasti
- sijoittaa
- Malli
- Detailing
- Detection
- tuhoisa
- kehittäjille
- Kehitys
- erot
- digitaalinen
- löysi
- selvä
- dollaria
- Pudota
- dubattuna
- Työntekijä
- työntekijää
- mahdollistaa
- salattu
- päätepiste
- energia
- varmistaa
- yritys
- yrityksen turvallisuus
- ympäristö
- vakiintunut
- Jopa
- kehittyvä
- suorittaa
- teloitettiin
- teloitus
- selitti
- tuttu
- taloudellinen
- Rahoituslaitokset
- Yritys
- Etunimi
- lippulaiva
- jälkeen
- varten
- oikeusopillinen
- alkaen
- täysin
- toiminnallinen
- saadut
- keräys
- antaa
- tavoite
- Hallitus
- valtion virastot
- Ryhmä
- Ryhmän
- Olla
- isännöi
- HTTPS
- in
- tiedot
- ensimmäinen
- laitokset
- integroi
- tulee
- IT
- SEN
- itse
- jpg
- avain
- Korea
- Korean
- Kieli
- myöhemmin
- Lazarus
- Lasarus-ryhmä
- pitää
- rajoittamalla
- kone
- tehdä
- haittaohjelmat
- tapa
- monet
- Saattaa..
- Muisti
- viesti
- Viestit
- Meta
- miljoonia
- hetki
- seuranta
- lisää
- eniten
- nimi
- nimetty
- syntyperäinen
- netto
- Uusi
- hiljattain
- Pohjoiseen
- Pohjois-Korea
- huomattava
- useat
- of
- Tarjoukset
- on
- ONE
- vain
- tilata
- organisaatioiden
- Muut
- yli
- kuvat
- ping
- foorumi
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- aiheuttaa
- mahdollinen
- Kirje
- Ohjelma
- Ohjelmointi
- projekti
- RAT
- reaaliaikainen
- Todellisuus
- vastaanottaa
- sai
- kaukosäädin
- etäkäyttö
- edustaa
- tutkija
- Tutkijat
- vastaus
- REST
- väärennetty
- Rooli
- s
- turvallisuus
- sensible
- palvelin
- yhteinen
- osoittivat
- merkittävä
- merkittävästi
- yksinkertaistettu
- koska
- Ratkaisumme
- SOLVE
- jonkin verran
- Sony
- lähde
- lähdekoodi
- Espanjan
- erityinen
- Kaupallinen
- Yhä
- varastettu
- Levytila
- onnistunut
- niin
- tuki
- järjestelmä
- järjestelmät
- Kohde
- kohdennettu
- kohdistaminen
- tiimit
- kymmeniä
- ehdot
- kuin
- että
- -
- heidän
- Siellä.
- siten
- Nämä
- ne
- asiat
- kolmannen osapuolen
- tätä
- ne
- vaikka?
- uhkaus
- että
- työkalu
- työkalut
- Seuranta
- Troijalainen
- kaksi
- varten
- us
- käytetty
- käyttämällä
- versio
- hyvin
- kautta
- oli
- Tapa..
- kun
- joka
- KUKA
- leveä
- tulee
- ikkunat
- with
- sisällä
- kirjoitti
- vuotta
- zephyrnet
