北朝鮮の国営ラザラス・グループは、スペインの航空宇宙企業のサイバー攻撃成功で最初に発見された、複雑かつ進化を続ける新たなバックドアをマルウェアの保管庫に追加したようだ。
このマルウェアを発見した ESET の研究者は、この新しい脅威を「LightlessCan」として追跡しており、この脅威グループの主力である BlindingCan リモート アクセス トロイの木馬 (RAT) のソース コードに基づいていると考えています。
Lazarus は、米国の組織や企業のセキュリティ チームが長年にわたってよく知っている北朝鮮国家支援の脅威グループです。 Lazarus グループは、2014 年にソニー ピクチャーズに対する壊滅的な攻撃で初めて広く悪名を轟かせて以来、現在活動している最も有害な高度持続的脅威 (APT) グループの XNUMX つとしての地位を確立しました。 長年にわたり、銀行やその他の金融機関を攻撃して数千万ドルを盗んできました。 ~からテラバイト単位の機密情報が流出 防衛請負業者、 政府機関、 医療機関とエネルギー会社; そして何人も処刑された 暗号通貨強盗 および サプライチェーン攻撃.
初期アクセスのメタとしてのスピアフィッシング
スペインの航空宇宙会社に対する ESET の分析では、Lazarus の攻撃者が、同社の特定の従業員を標的としたスピア フィッシング キャンペーンの成功を通じて初期アクセスを獲得したことが判明しました。 この攻撃者は Facebook の親会社である Meta の採用担当者を装い、LinkedIn メッセージングを通じて航空宇宙企業の開発者に連絡しました。
最初のメッセージに従うようだまされた従業員は、従業員の C++ プログラミング言語の習熟度をチェックするという名目で XNUMX つのコーディングの課題を受けました。 実際には、サードパーティのクラウド ストレージ プラットフォームでホストされているコーディングの課題には、従業員が課題を解決しようとしたときにこっそりと追加のペイロードをシステムにダウンロードする悪意のある実行可能ファイルが含まれていました。
これらのペイロードの最初のものは、ESET 研究者が NickelLoader と名付けた HTTPS ダウンローダーでした。 このツールは基本的に、Lazarus グループの攻撃者が任意のプログラムを侵害されたシステムのメモリに展開することを可能にしました。 この場合、Lazarus グループは NickelLoader を使用して 2 つの RAT、つまり機能制限版の BlindingCan と LightlessCan バックドアをドロップしました。 ESETがminiBlindingCanと名付けたBlindingCanの簡易版の役割は、コンピュータ名、Windowsのバージョン、構成データなどのシステム情報を収集し、コマンドアンドコントロール(CXNUMX)サーバーからコマンドを受信して実行することです。 。
ESETの研究者によると、Lazarusグループが標的としている組織にとって、LightlessCanは重大な新たな脅威となる Peter Kálnai はブログ投稿にこう書いています 新たに発見されたマルウェアの詳細を説明します。
このマルウェアの設計は、Lazarus グループの攻撃者に、侵害されたシステム上の悪意のあるアクティビティの痕跡を大幅に封じ込める方法を提供し、それにより、リアルタイムの監視制御やフォレンジック ツールがマルウェアを検出する能力を制限します。
リアルタイム監視とフォレンジックツールから隠れる RAT
LightlessCan は、68 もの異なるコマンドのサポートを統合しており、その多くは、システムおよび環境情報を収集するための ping、ipconfig、systeminfo、net などのネイティブ Windows コマンドを模倣しています。 現時点で実際に機能しているのはこれらのコマンドのうち 43 個だけです。残りは一種のプレースホルダーであり、おそらく攻撃者が将来のある時点で完全に機能するようになるため、このツールがまだ開発中であることが示唆されています。
「RAT の背後にあるプロジェクトは、間違いなく BlindingCan ソース コードに基づいています。インデックス付けに違いがあるとしても、共有コマンドの順序は大幅に保存されています」と Kálnai 氏はブログ投稿で説明しました。
ただし、LightlessCan は BoundlessCan よりも大幅に進歩しているようです。 とりわけ、この新しいトロイの木馬は、RAT 自体内でネイティブ Windows コマンドの実行を可能にします。
「このアプローチは、エンドポイント検出と対応 (EDR) などのリアルタイム監視ソリューションと事後デジタル フォレンジック ツールの両方を回避する点で、ステルス性の点で大きな利点をもたらします」とカルナイ氏は書いています。
また、脅威アクターは、暗号化されたペイロードが侵害されたマシンに固有の復号キーを使用しないと復号できないように、LightlessCan を不正に操作しました。 目標は、ペイロードの復号化がターゲット システム上でのみ可能であり、他の環境では不可能であることを保証することです。 カルナイ氏はこう指摘した。 セキュリティ研究者が所有するシステムなど。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace
- :持っている
- :は
- :not
- $UP
- 2014
- 7
- a
- 能力
- アクセス
- 従った
- アクティブ
- アクティビティ
- 俳優
- 実際に
- 追加されました
- NEW
- 高度な
- 利点
- 航空宇宙
- 航空宇宙企業
- 機関
- 許可されて
- また
- 間で
- an
- 分析
- および
- どれか
- 登場する
- アプローチ
- APT
- です
- アーセナル
- AS
- At
- 攻撃
- 攻撃
- 試みた
- 裏口
- 銀行
- ベース
- 基本的に
- BE
- になる
- 背後に
- 信じる
- 所属
- ブログ
- 両言語で
- C + +
- キャンペーン
- 缶
- 場合
- チェーン
- 挑戦する
- 課題
- チェック
- 選択
- クラウド
- コード
- コーディング
- 収集する
- 会社
- 複雑な
- 妥協
- 損害を受けた
- コンピュータ
- 含む
- 含まれている
- controls
- 現在
- サイバー
- データ
- 絶対に
- 展開します
- 設計
- ディテール
- 検出
- 壊滅的な
- 開発者
- 開発
- の違い
- デジタル
- 発見
- 明確な
- ドル
- Drop
- ダビングされた
- 従業員
- 社員
- 可能
- では使用できません
- エンドポイント
- エネルギー
- 確保
- Enterprise
- エンタープライズセキュリティ
- 環境
- 設立
- さらに
- 進化
- 実行します
- 実行された
- 実行
- 説明
- おなじみの
- ファイナンシャル
- 金融機関
- 会社
- 名
- 旗艦
- フォロー中
- 法医学
- から
- 完全に
- 機能的な
- 獲得
- 集まり
- 与える
- 目標
- 政府・公共機関
- 政府機関
- グループ
- グループの
- 持ってる
- 主催
- HTTPS
- in
- 情報
- 初期
- 機関
- 統合する
- に
- IT
- ITS
- 自体
- JPG
- キー
- 韓国
- 韓国語
- 言語
- 後で
- ラザロ
- ラザログループ
- ような
- 制限する
- 機械
- make
- マルウェア
- 方法
- 多くの
- 五月..
- メモリ
- メッセージ
- メッセージング
- Meta
- 何百万
- 瞬間
- モニタリング
- 他には?
- 最も
- 名
- 名前付き
- ネイティブ
- net
- 新作
- 新しく
- ノース
- 北朝鮮
- 注意
- 多数の
- of
- オファー
- on
- ONE
- の
- 注文
- 組織
- その他
- が
- ピクチャー
- ping
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- ポーズ
- 可能
- ポスト
- 演奏曲目
- プログラミング
- プロジェクト
- RAT
- への
- 現実
- 受け取ります
- 受け
- リモート
- リモートアクセス
- 表し
- 研究者
- 研究者
- 応答
- REST
- 装備
- 職種
- s
- セキュリティ
- 敏感な
- shared
- 示されました
- 重要
- 著しく
- 簡略化されました
- から
- ソリューション
- 解決する
- 一部
- Sony
- ソース
- ソースコード
- スペイン語
- 特定の
- Spot
- まだ
- 盗まれました
- ストレージ利用料
- 成功した
- そのような
- サポート
- システム
- ターゲット
- 対象となります
- ターゲット
- チーム
- 十
- 条件
- より
- それ
- アプリ環境に合わせて
- そこ。
- それによって
- ボーマン
- 彼ら
- 物事
- サードパーティ
- この
- それらの
- しかし?
- 脅威
- 〜へ
- ツール
- 豊富なツール群
- 追跡
- トロイの
- 2
- 下
- us
- 中古
- バージョン
- 非常に
- 、
- ました
- 仕方..
- いつ
- which
- 誰
- ワイド
- 意志
- ウィンドウズ
- 以内
- 書いた
- 年
- ゼファーネット