Северная Корея выдает себя за мета, чтобы развернуть сложный бэкдор в аэрокосмической организации

Спонсируемая государством северокорейская группа Lazarus, похоже, добавила в свой арсенал вредоносного ПО новый сложный и все еще развивающийся бэкдор, впервые обнаруженный в ходе успешной кибер-компрометации испанской аэрокосмической компании.

Исследователи из ESET, обнаружившие вредоносное ПО, отслеживают новую угрозу как «LightlessCan» и полагают, что она основана на исходном коде флагманского трояна удаленного доступа BlindingCan (RAT) группы угроз.

Lazarus — это поддерживаемая государством Северная Корея группа угроз, с которой американские организации и команды по обеспечению безопасности предприятий хорошо знакомы за многие годы. С тех пор как группа Lazarus впервые получила широкую известность благодаря разрушительной атаке на Sony Pictures в 2014 году, она зарекомендовала себя как одна из наиболее вредоносных групп современных постоянных угроз (APT), действующих в настоящее время. За прошедшие годы он украл десятки миллионов долларов посредством атак на банки и другие финансовые учреждения; украл терабайты конфиденциальной информации из оборонные подрядчики, Правительственные агенства, организации здравоохранения и энергетические компании; и казнил множество ограбления криптовалюты и атаки на цепочку поставок.

Целевой фишинг как мета для первоначального доступа

Анализ атаки на испанскую аэрокосмическую компанию, проведенный ESET, показал, что злоумышленники Lazarus получили первоначальный доступ посредством успешной целевой фишинговой кампании, нацеленной на конкретных сотрудников компании. Злоумышленник выдал себя за рекрутера компании Meta, материнской компании Facebook, и связался с разработчиками аэрокосмической фирмы через LinkedIn Messaging.

Сотрудник, которого обманом заставили ответить на первоначальное сообщение, получил два задания по кодированию, предположительно для проверки уровня владения сотрудником языком программирования C++. На самом деле задачи по кодированию, размещенные на сторонней облачной платформе хранения, содержали вредоносные исполняемые файлы, которые тайно загружали дополнительные полезные данные в систему сотрудников, когда они пытались решить задачу.

Первой из этих полезных нагрузок был загрузчик HTTPS, который исследователи ESET назвали NickelLoader. По сути, этот инструмент позволял участникам группы Lazarus развертывать любую программу по своему выбору в памяти скомпрометированной системы. В данном случае группа Lazarus использовала NickelLoader для установки двух RAT — версии BlindingCan с ограниченной функциональностью и бэкдора LightlessCan. Роль упрощенной версии BlindingCan, которую ESET назвала miniBlindingCan, заключается в сборе системной информации, такой как имя компьютера, версия Windows и данные конфигурации, а также в получении и выполнении команд с сервера управления и контроля (C2). .

По мнению исследователя ESET, для организаций, на которые нацелена группа Lazarus, LightlessCan представляет собой новую серьезную угрозу. Питер Калнаи написал в своем блоге подробное описание недавно обнаруженного вредоносного ПО.

Конструкция вредоносного ПО дает участникам группы Lazarus возможность существенно сдерживать следы вредоносной активности в скомпрометированных системах, тем самым ограничивая возможности средств контроля в реальном времени и инструментов криминалистики для ее обнаружения.

Крыса, скрывающаяся от мониторинга в реальном времени и инструментов криминалистики

LightlessCan интегрирует поддержку до 68 различных команд, многие из которых имитируют собственные команды Windows, такие как ping, ipconfig, systeminfo и net, для сбора информации о системе и среде. На данный момент фактически работоспособны только 43 из этих команд — остальные являются своего рода заполнителями, которые злоумышленник, предположительно, сделает полностью функциональными позднее, что позволяет предположить, что инструмент все еще находится в стадии разработки. 

«Проект, лежащий в основе RAT, определенно основан на исходном коде BlindingCan, поскольку порядок общих команд в значительной степени сохраняется, даже несмотря на то, что могут быть различия в их индексации», — объяснил Калнаи в своем блоге.

Однако LightlessCan кажется значительно более продвинутым, чем BoundlessCan. Помимо прочего, новый троянец позволяет выполнять собственные команды Windows внутри самой RAT. 

«Этот подход дает значительное преимущество с точки зрения скрытности, как для обхода решений мониторинга в реальном времени, таких как обнаружение и реагирование на конечных точках (EDR), так и для посмертных инструментов цифровой криминалистики», — написал Калнаи.

Злоумышленник также настроил LightlessCan таким образом, что его зашифрованные полезные данные можно расшифровать только с помощью ключа дешифрования, специфичного для скомпрометированной машины. Цель состоит в том, чтобы гарантировать, что расшифровка полезной нагрузки возможна только на целевых системах, а не в какой-либо другой среде. Калнаи отметил: например, система, принадлежащая исследователю безопасности.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace