A jelek szerint az észak-koreai állam által támogatott Lazarus Group egy összetett és még mindig fejlődőben lévő új háttérajtóval bővítette kártevő-arzenálját, amelyet először egy spanyol repülőgépipari vállalat sikeres kiberkompromisszumában vettek észre.
Az ESET kutatói, akik felfedezték a kártevőt, „LightlessCan” néven követik az új fenyegetést, és úgy vélik, hogy az a fenyegetéscsoport zászlóshajója, a BlindingCan távoli hozzáférésű trójai (RAT) forráskódján alapul.
A Lazarus egy észak-koreai állam által támogatott fenyegetettségi csoport, amelyet az amerikai szervezetek és a vállalati biztonsági csapatok nagyon jól ismertek az évek során. Amióta 2014-ben a Sony Pictures elleni pusztító támadással először szerzett széles körű hírnevet, a Lazarus csoport a jelenleg is működő egyik legveszélyesebb fejlett, tartós fenyegetés (APT) csoportja lett. Az évek során több tízmillió dollárt lopott el bankok és más pénzintézetek elleni támadásokkal; terabájtnyi érzékeny információ kiszivárogtatásáról védelmi vállalkozók, kormányzati szervek, egészségügyi szervezetek és energiacégek; és számosat kivégeztek kriptovaluta rablás és a ellátási lánc támadások.
Spear-phishing, mint meta a kezdeti hozzáféréshez
Az ESET elemzése a spanyol repülőgép-ipari vállalat elleni támadásról kimutatta, hogy a Lazarus szereplői egy sikeres adathalász kampány révén jutottak hozzá a kezdeti hozzáféréshez, amely a vállalat bizonyos alkalmazottait célozta meg. A fenyegetőző színész a Facebook szülő Meta toborzójának álcázta magát, és a LinkedIn Messagingen keresztül felvette a kapcsolatot a repülőgép-ipari cég fejlesztőivel.
Egy alkalmazott, akit becsaptak az első üzenet nyomon követésére, két kódolási kihívást kapott, állítólag azért, hogy ellenőrizze az alkalmazott C++ programozási nyelvben való jártasságát. A valóságban a kódolási kihívások – amelyeket egy harmadik féltől származó felhőalapú tárolási platformon tároltak – olyan rosszindulatú végrehajtható fájlokat tartalmaztak, amelyek titokban további hasznos terheket töltöttek le az alkalmazott rendszerére, amikor megpróbálták megoldani a kihívást.
Az első ilyen hasznos adat egy HTTPS letöltő volt, amelyet az ESET kutatói NickelLoadernek neveztek el. Az eszköz alapvetően lehetővé tette a Lazarus csoport szereplői számára, hogy tetszőleges programot telepítsenek a kompromittált rendszer memóriájába. Ebben az esetben a Lazarus csoport a NickelLoader segítségével két RAT-ot dobott le – a BlindingCan korlátozott funkciójú változatát és a LightlessCan hátsó ajtót. A BlindingCan egyszerűsített verziójának – amelyet az ESET miniBlindingCan-nek nevezett el – az a szerepe, hogy rendszerinformációkat gyűjtsön, például a számítógép nevét, a Windows-verziót és a konfigurációs adatokat, valamint parancsokat fogadjon és hajtson végre a parancs- és vezérlőkiszolgálóról (C2). .
Az ESET kutatója szerint a Lazarus csoport által megcélzott szervezetek számára a LightlessCan jelentős új fenyegetést jelent. – írta Kálnai Péter blogbejegyzésében részletezi az újonnan felfedezett rosszindulatú programokat.
A rosszindulatú program kialakítása lehetőséget ad a Lazarus csoport szereplőinek arra, hogy jelentős mértékben visszatartsák a rosszindulatú tevékenységek nyomait a feltört rendszereken, ezáltal korlátozva a valós idejű felügyeleti vezérlők és a törvényszéki eszközök észlelését.
Egy patkány rejtőzködik a valós idejű megfigyelő és kriminalisztikai eszközök elől
A LightlessCan akár 68 különálló parancs támogatását is magában foglalja, amelyek közül sok a natív Windows-parancsokat utánozza, mint például a ping, ipconfig, systeminfo és net a rendszer- és környezetinformációk összegyűjtésére. A parancsok közül jelenleg csak 43 működik ténylegesen – a többi olyan helyőrző, amelyet a fenyegetés szereplője egy későbbi időpontban feltehetően teljesen működőképessé tesz, ami arra utal, hogy az eszköz még fejlesztés alatt áll.
„A RAT mögötti projekt minden bizonnyal a BlindingCan forráskódra épül, mivel a megosztott parancsok sorrendje jelentősen megmarad, annak ellenére, hogy az indexelésükben eltérések lehetnek” – magyarázta Kálnai a blogbejegyzésben.
A LightlessCan azonban lényegesen fejlettebbnek tűnik, mint a BoundlessCan. Az új trójai többek között lehetővé teszi a natív Windows-parancsok végrehajtását magán a RAT-on belül.
"Ez a megközelítés jelentős előnyt jelent a lopakodás szempontjából, mind az olyan valós idejű megfigyelési megoldások, mint a végpont-észlelés és válaszadás (EDR), mind a postmortem digitális kriminalisztikai eszközök elkerülése terén" - írta Kálnai.
A fenyegetettség szereplője a LightlessCan-t úgy is meghamisította, hogy annak titkosított hasznos adata csak a feltört gépre jellemző visszafejtési kulccsal fejthető vissza. A cél annak biztosítása, hogy a hasznos terhelés visszafejtése csak a célrendszereken legyen lehetséges, más környezetben ne, Kálnai megjegyezte, mint például egy biztonságkutatóhoz tartozó rendszer.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace
- :van
- :is
- :nem
- $ UP
- 2014
- 7
- a
- képesség
- hozzáférés
- Szerint
- aktív
- tevékenység
- szereplők
- tulajdonképpen
- hozzáadott
- További
- fejlett
- Előny
- légtér
- repülőgépipari cég
- ügynökségek
- megengedett
- Is
- között
- an
- elemzés
- és a
- bármilyen
- Megjelenik
- megközelítés
- APT
- VANNAK
- fegyverraktár
- AS
- At
- támadás
- Támadások
- megkísérelt
- hátsó ajtó
- Banks
- alapján
- Alapvetően
- BE
- válik
- mögött
- Hisz
- tartozó
- Blog
- mindkét
- C + +
- Kampány
- TUD
- eset
- lánc
- kihívás
- kihívások
- ellenőrizze
- választás
- felhő
- felhő tárolási
- kód
- Kódolás
- gyűjt
- vállalat
- bonyolult
- kompromisszum
- Veszélyeztetett
- számítógép
- Configuration
- tartalmaz
- tartalmazott
- ellenőrzések
- Jelenleg
- cyber
- dátum
- minden bizonnyal
- telepíteni
- Design
- részletezve
- Érzékelés
- pusztító
- fejlesztők
- Fejlesztés
- különbségek
- digitális
- felfedezett
- különböző
- dollár
- Csepp
- szinkronizált
- munkavállaló
- alkalmazottak
- lehetővé teszi
- titkosított
- Endpoint
- energia
- biztosítására
- Vállalkozás
- vállalati biztonság
- Környezet
- megalapozott
- Még
- fejlődik
- kivégez
- végrehajtott
- végrehajtás
- magyarázható
- ismerős
- pénzügyi
- Pénzintézetek
- Cég
- vezetéknév
- zászlóshajó
- következő
- A
- Törvényszéki
- ból ből
- teljesen
- funkcionális
- szerzett
- gyűjtése
- ad
- cél
- Kormány
- kormányzati szervek
- Csoport
- Csoportok
- Legyen
- házigazdája
- HTTPS
- in
- információ
- kezdetben
- intézmények
- integrál
- bele
- IT
- ITS
- maga
- jpg
- Kulcs
- korea
- koreai
- nyelv
- a későbbiekben
- Lázár
- Lazarus csoport
- mint
- korlátozó
- gép
- csinál
- malware
- mód
- sok
- Lehet..
- Memory design
- üzenet
- üzenetküldés
- meta
- Több millió
- pillanat
- ellenőrzés
- több
- a legtöbb
- név
- Nevezett
- bennszülött
- háló
- Új
- újonnan
- Északi
- Észak Kórea
- neves
- számos
- of
- Ajánlatok
- on
- ONE
- csak
- érdekében
- szervezetek
- Más
- felett
- képek
- fütyülés
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- pózok
- lehetséges
- állás
- Program
- Programozás
- program
- PATKÁNY
- real-time
- Valóság
- kap
- kapott
- távoli
- távoli hozzáférés
- jelentése
- kutató
- kutatók
- válasz
- REST
- manipulált
- Szerep
- s
- biztonság
- érzékeny
- szerver
- megosztott
- kimutatta,
- jelentős
- jelentősen
- egyszerűsített
- óta
- Megoldások
- SOLVE
- néhány
- Sony
- forrás
- forráskód
- spanyol
- különleges
- Spot
- Még mindig
- lopott
- tárolás
- sikeres
- ilyen
- támogatás
- rendszer
- Systems
- cél
- célzott
- célzás
- csapat
- tíz
- feltételek
- mint
- hogy
- A
- azok
- Ott.
- ezáltal
- Ezek
- ők
- dolgok
- harmadik fél
- ezt
- azok
- bár?
- fenyegetés
- nak nek
- szerszám
- szerszámok
- Csomagkövetés
- trójai
- kettő
- alatt
- us
- használt
- segítségével
- változat
- nagyon
- keresztül
- volt
- Út..
- amikor
- ami
- WHO
- széles
- lesz
- ablakok
- val vel
- belül
- írt
- év
- zephyrnet