Észak-Korea metaként jelent meg az Aerospace Org. komplex hátsó ajtó telepítéséhez

A jelek szerint az észak-koreai állam által támogatott Lazarus Group egy összetett és még mindig fejlődőben lévő új háttérajtóval bővítette kártevő-arzenálját, amelyet először egy spanyol repülőgépipari vállalat sikeres kiberkompromisszumában vettek észre.

Az ESET kutatói, akik felfedezték a kártevőt, „LightlessCan” néven követik az új fenyegetést, és úgy vélik, hogy az a fenyegetéscsoport zászlóshajója, a BlindingCan távoli hozzáférésű trójai (RAT) forráskódján alapul.

A Lazarus egy észak-koreai állam által támogatott fenyegetettségi csoport, amelyet az amerikai szervezetek és a vállalati biztonsági csapatok nagyon jól ismertek az évek során. Amióta 2014-ben a Sony Pictures elleni pusztító támadással először szerzett széles körű hírnevet, a Lazarus csoport a jelenleg is működő egyik legveszélyesebb fejlett, tartós fenyegetés (APT) csoportja lett. Az évek során több tízmillió dollárt lopott el bankok és más pénzintézetek elleni támadásokkal; terabájtnyi érzékeny információ kiszivárogtatásáról védelmi vállalkozók, kormányzati szervek, egészségügyi szervezetek és energiacégek; és számosat kivégeztek kriptovaluta rablás és a ellátási lánc támadások.

Spear-phishing, mint meta a kezdeti hozzáféréshez

Az ESET elemzése a spanyol repülőgép-ipari vállalat elleni támadásról kimutatta, hogy a Lazarus szereplői egy sikeres adathalász kampány révén jutottak hozzá a kezdeti hozzáféréshez, amely a vállalat bizonyos alkalmazottait célozta meg. A fenyegetőző színész a Facebook szülő Meta toborzójának álcázta magát, és a LinkedIn Messagingen keresztül felvette a kapcsolatot a repülőgép-ipari cég fejlesztőivel.

Egy alkalmazott, akit becsaptak az első üzenet nyomon követésére, két kódolási kihívást kapott, állítólag azért, hogy ellenőrizze az alkalmazott C++ programozási nyelvben való jártasságát. A valóságban a kódolási kihívások – amelyeket egy harmadik féltől származó felhőalapú tárolási platformon tároltak – olyan rosszindulatú végrehajtható fájlokat tartalmaztak, amelyek titokban további hasznos terheket töltöttek le az alkalmazott rendszerére, amikor megpróbálták megoldani a kihívást.

Az első ilyen hasznos adat egy HTTPS letöltő volt, amelyet az ESET kutatói NickelLoadernek neveztek el. Az eszköz alapvetően lehetővé tette a Lazarus csoport szereplői számára, hogy tetszőleges programot telepítsenek a kompromittált rendszer memóriájába. Ebben az esetben a Lazarus csoport a NickelLoader segítségével két RAT-ot dobott le – a BlindingCan korlátozott funkciójú változatát és a LightlessCan hátsó ajtót. A BlindingCan egyszerűsített verziójának – amelyet az ESET miniBlindingCan-nek nevezett el – az a szerepe, hogy rendszerinformációkat gyűjtsön, például a számítógép nevét, a Windows-verziót és a konfigurációs adatokat, valamint parancsokat fogadjon és hajtson végre a parancs- és vezérlőkiszolgálóról (C2). .

Az ESET kutatója szerint a Lazarus csoport által megcélzott szervezetek számára a LightlessCan jelentős új fenyegetést jelent. – írta Kálnai Péter blogbejegyzésében részletezi az újonnan felfedezett rosszindulatú programokat.

A rosszindulatú program kialakítása lehetőséget ad a Lazarus csoport szereplőinek arra, hogy jelentős mértékben visszatartsák a rosszindulatú tevékenységek nyomait a feltört rendszereken, ezáltal korlátozva a valós idejű felügyeleti vezérlők és a törvényszéki eszközök észlelését.

Egy patkány rejtőzködik a valós idejű megfigyelő és kriminalisztikai eszközök elől

A LightlessCan akár 68 különálló parancs támogatását is magában foglalja, amelyek közül sok a natív Windows-parancsokat utánozza, mint például a ping, ipconfig, systeminfo és net a rendszer- és környezetinformációk összegyűjtésére. A parancsok közül jelenleg csak 43 működik ténylegesen – a többi olyan helyőrző, amelyet a fenyegetés szereplője egy későbbi időpontban feltehetően teljesen működőképessé tesz, ami arra utal, hogy az eszköz még fejlesztés alatt áll. 

„A RAT mögötti projekt minden bizonnyal a BlindingCan forráskódra épül, mivel a megosztott parancsok sorrendje jelentősen megmarad, annak ellenére, hogy az indexelésükben eltérések lehetnek” – magyarázta Kálnai a blogbejegyzésben.

A LightlessCan azonban lényegesen fejlettebbnek tűnik, mint a BoundlessCan. Az új trójai többek között lehetővé teszi a natív Windows-parancsok végrehajtását magán a RAT-on belül. 

"Ez a megközelítés jelentős előnyt jelent a lopakodás szempontjából, mind az olyan valós idejű megfigyelési megoldások, mint a végpont-észlelés és válaszadás (EDR), mind a postmortem digitális kriminalisztikai eszközök elkerülése terén" - írta Kálnai.

A fenyegetettség szereplője a LightlessCan-t úgy is meghamisította, hogy annak titkosított hasznos adata csak a feltört gépre jellemző visszafejtési kulccsal fejthető vissza. A cél annak biztosítása, hogy a hasznos terhelés visszafejtése csak a célrendszereken legyen lehetséges, más környezetben ne, Kálnai megjegyezte, mint például egy biztonságkutatóhoz tartozó rendszer.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace