北朝鮮、航空宇宙組織に複雑なバックドアを配備するメタのふりをする

北朝鮮の国営ラザ​​ラス・グループは、スペインの航空宇宙企業のサイバー攻撃成功で最初に発見された、複雑かつ進化を続ける新たなバックドアをマルウェアの保管庫に追加したようだ。

このマルウェアを発見した ESET の研究者は、この新しい脅威を「LightlessCan」として追跡しており、この脅威グループの主力である BlindingCan リモート アクセス トロイの木馬 (RAT) のソース コードに基づいていると考えています。

Lazarus は、米国の組織や企業のセキュリティ チームが長年にわたってよく知っている北朝鮮国家支援の脅威グループです。 Lazarus グループは、2014 年にソニー ピクチャーズに対する壊滅的な攻撃で初めて広く悪名を轟かせて以来、現在活動している最も有害な高度持続的脅威 (APT) グループの XNUMX つとしての地位を確立しました。 長年にわたり、銀行やその他の金融機関を攻撃して数千万ドルを盗んできました。 ～からテラバイト単位の機密情報が流出 防衛請負業者、 政府機関、 医療機関とエネルギー会社; そして何人も処刑された 暗号通貨強盗 および サプライチェーン攻撃.

初期アクセスのメタとしてのスピアフィッシング

スペインの航空宇宙会社に対する ESET の分析では、Lazarus の攻撃者が、同社の特定の従業員を標的としたスピア フィッシング キャンペーンの成功を通じて初期アクセスを獲得したことが判明しました。 この攻撃者は Facebook の親会社である Meta の採用担当者を装い、LinkedIn メッセージングを通じて航空宇宙企業の開発者に連絡しました。

最初のメッセージに従うようだまされた従業員は、従業員の C++ プログラミング言語の習熟度をチェックするという名目で XNUMX つのコーディングの課題を受けました。 実際には、サードパーティのクラウド ストレージ プラットフォームでホストされているコーディングの課題には、従業員が課題を解決しようとしたときにこっそりと追加のペイロードをシステムにダウンロードする悪意のある実行可能ファイルが含まれていました。

これらのペイロードの最初のものは、ESET 研究者が NickelLoader と名付けた HTTPS ダウンローダーでした。 このツールは基本的に、Lazarus グループの攻撃者が任意のプログラムを侵害されたシステムのメモリに展開することを可能にしました。 この場合、Lazarus グループは NickelLoader を使用して 2 つの RAT、つまり機能制限版の BlindingCan と LightlessCan バックドアをドロップしました。 ESETがminiBlindingCanと名付けたBlindingCanの簡易版の役割は、コンピュータ名、Windowsのバージョン、構成データなどのシステム情報を収集し、コマンドアンドコントロール(CXNUMX)サーバーからコマンドを受信して​​実行することです。 。

ESETの研究者によると、Lazarusグループが標的としている組織にとって、LightlessCanは重大な新たな脅威となる Peter Kálnai はブログ投稿にこう書いています 新たに発見されたマルウェアの詳細を説明します。

このマルウェアの設計は、Lazarus グループの攻撃者に、侵害されたシステム上の悪意のあるアクティビティの痕跡を大幅に封じ込める方法を提供し、それにより、リアルタイムの監視制御やフォレンジック ツールがマルウェアを検出する能力を制限します。

リアルタイム監視とフォレンジックツールから隠れる RAT

LightlessCan は、68 もの異なるコマンドのサポートを統合しており、その多くは、システムおよび環境情報を収集するための ping、ipconfig、systeminfo、net などのネイティブ Windows コマンドを模倣しています。 現時点で実際に機能しているのはこれらのコマンドのうち 43 個だけです。残りは一種のプレースホルダーであり、おそらく攻撃者が将来のある時点で完全に機能するようになるため、このツールがまだ開発中であることが示唆されています。 

「RAT の背後にあるプロジェクトは、間違いなく BlindingCan ソース コードに基づいています。インデックス付けに違いがあるとしても、共有コマンドの順序は大幅に保存されています」と Kálnai 氏はブログ投稿で説明しました。

ただし、LightlessCan は BoundlessCan よりも大幅に進歩しているようです。 とりわけ、この新しいトロイの木馬は、RAT 自体内でネイティブ Windows コマンドの実行を可能にします。 

「このアプローチは、エンドポイント検出と対応 (EDR) などのリアルタイム監視ソリューションと事後デジタル フォレンジック ツールの両方を回避する点で、ステルス性の点で大きな利点をもたらします」とカルナイ氏は書いています。

また、脅威アクターは、暗号化されたペイロードが侵害されたマシンに固有の復号キーを使用しないと復号できないように、LightlessCan を不正に操作しました。 目標は、ペイロードの復号化がターゲット システム上でのみ可能であり、他の環境では不可能であることを保証することです。 カルナイ氏はこう指摘した。 セキュリティ研究者が所有するシステムなど。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace