Noord-Korea doet zich voor als meta om complexe achterdeur in te zetten bij Aerospace Org

De door de staat gesponsorde Noord-Koreaanse Lazarus Group lijkt een complexe en nog steeds evoluerende nieuwe achterdeur te hebben toegevoegd aan zijn malwarearsenaal, dat voor het eerst werd opgemerkt in een succesvol cybercompromis van een Spaans lucht- en ruimtevaartbedrijf.

Onderzoekers van ESET die de malware hebben ontdekt, volgen de nieuwe bedreiging als “LightlessCan” en denken dat deze gebaseerd is op de broncode van het vlaggenschip van de bedreigingsgroep, BlindingCan, op afstand toegankelijke Trojan (RAT).

Lazarus is een door de Noord-Koreaanse staat gesteunde dreigingsgroep waarmee Amerikaanse organisaties en bedrijfsbeveiligingsteams in de loop der jaren zeer vertrouwd zijn geraakt. Sinds de Lazarus-groep voor het eerst grote bekendheid verwierf met een verwoestende aanval op Sony Pictures in 2014, heeft zij zich gevestigd als een van de meest verderfelijke Advanced Persistent Threat (APT)-groepen die momenteel actief zijn. Door de jaren heen heeft het tientallen miljoenen dollars gestolen met aanvallen op banken en andere financiële instellingen; terabytes aan gevoelige informatie geëxfiltreerd defensie aannemers, overheidsinstellingen, zorgorganisaties en energiebedrijven; en talloze geëxecuteerd overvallen op cryptocurrency en aanvallen op de toeleveringsketen.

Spear-phishing als meta voor initiële toegang

ESET's analyse van de aanval op het Spaanse lucht- en ruimtevaartbedrijf toonde aan dat Lazarus-actoren aanvankelijk toegang kregen via een succesvolle spear-phishing-campagne gericht op specifieke medewerkers van het bedrijf. De bedreigingsacteur deed zich voor als recruiter voor Facebook-moederbedrijf Meta en nam via LinkedIn Messaging contact op met ontwikkelaars van het lucht- en ruimtevaartbedrijf.

Een medewerker die werd misleid om gevolg te geven aan het oorspronkelijke bericht, kreeg twee codeeruitdagingen, zogenaamd om de vaardigheid van de medewerker in de programmeertaal C++ te controleren. In werkelijkheid bevatten de coderingsuitdagingen – gehost op een cloudopslagplatform van derden – kwaadaardige uitvoerbare bestanden die heimelijk extra payloads op het systeem van de werknemer downloadden toen ze probeerden de uitdaging op te lossen.

De eerste van deze payloads was een HTTPS-downloader die ESET-onderzoekers NickelLoader noemden. Met de tool konden Lazarus-groepsactoren in principe elk programma van hun keuze in het geheugen van het gecompromitteerde systeem implementeren. In dit geval gebruikte de Lazarus-groep NickelLoader om twee RAT's te laten vallen: een versie met beperkte functionaliteit van BlindingCan en de LightlessCan-achterdeur. De rol van de vereenvoudigde versie van BlindingCan – die ESET miniBlindingCan heeft genoemd – is het verzamelen van systeeminformatie zoals computernaam, Windows-versie en configuratiegegevens, en ook het ontvangen en uitvoeren van opdrachten van de command-and-control (C2)-server .

Voor organisaties waarop de Lazarus-groep zich richt, vertegenwoordigt LightlessCan een belangrijke nieuwe bedreiging, aldus een ESET-onderzoeker Peter Kálnai schreef in een blogpost met details over de nieuw ontdekte malware.

Het ontwerp van de malware biedt actoren van de Lazarus-groep een manier om sporen van kwaadaardige activiteiten op aangetaste systemen aanzienlijk in te dammen, waardoor het vermogen van real-time monitoringcontroles en forensische tools om deze te detecteren wordt beperkt.

Een RAT die zich verbergt voor realtime monitoring en forensische tools

LightlessCan integreert ondersteuning voor maar liefst 68 verschillende opdrachten, waarvan er vele native Windows-opdrachten nabootsen, zoals ping, ipconfig, systeminfo en net voor het verzamelen van systeem- en omgevingsinformatie. Slechts 43 van die commando's zijn op dit moment daadwerkelijk functioneel; de rest is een soort tijdelijke aanduiding die de dreigingsactor vermoedelijk op een later moment volledig functioneel zal maken, wat erop wijst dat de tool nog in ontwikkeling is. 

“Het project achter de RAT is zeker gebaseerd op de BlindingCan-broncode, omdat de volgorde van de gedeelde commando’s aanzienlijk behouden blijft, ook al kunnen er verschillen zijn in de indexering ervan”, legt Kálnai uit in de blogpost.

LightlessCan lijkt echter aanzienlijk geavanceerder te zijn dan BoundlessCan. De nieuwe Trojan maakt onder andere de uitvoering van de oorspronkelijke Windows-opdrachten binnen de RAT zelf mogelijk. 

“Deze aanpak biedt een aanzienlijk voordeel op het gebied van stealth, zowel bij het omzeilen van realtime monitoringoplossingen zoals eindpuntdetectie en respons (EDR’s), als postmortem digitale forensische tools”, schreef Kálnai.

De bedreigingsacteur heeft LightlessCan ook zo gemanipuleerd dat de gecodeerde lading alleen kan worden gedecodeerd met behulp van een decoderingssleutel die specifiek is voor de gecompromitteerde machine. Het doel is ervoor te zorgen dat de decodering van de payload alleen mogelijk is op doelsystemen en niet in een andere omgeving. Kálnai merkte op: zoals een systeem van een beveiligingsonderzoeker.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace