Спонсируемая государством северокорейская группа Lazarus, похоже, добавила в свой арсенал вредоносного ПО новый сложный и все еще развивающийся бэкдор, впервые обнаруженный в ходе успешной кибер-компрометации испанской аэрокосмической компании.
Исследователи из ESET, обнаружившие вредоносное ПО, отслеживают новую угрозу как «LightlessCan» и полагают, что она основана на исходном коде флагманского трояна удаленного доступа BlindingCan (RAT) группы угроз.
Lazarus — это поддерживаемая государством Северная Корея группа угроз, с которой американские организации и команды по обеспечению безопасности предприятий хорошо знакомы за многие годы. С тех пор как группа Lazarus впервые получила широкую известность благодаря разрушительной атаке на Sony Pictures в 2014 году, она зарекомендовала себя как одна из наиболее вредоносных групп современных постоянных угроз (APT), действующих в настоящее время. За прошедшие годы он украл десятки миллионов долларов посредством атак на банки и другие финансовые учреждения; украл терабайты конфиденциальной информации из оборонные подрядчики, Правительственные агенства, организации здравоохранения и энергетические компании; и казнил множество ограбления криптовалюты и атаки на цепочку поставок.
Целевой фишинг как мета для первоначального доступа
Анализ атаки на испанскую аэрокосмическую компанию, проведенный ESET, показал, что злоумышленники Lazarus получили первоначальный доступ посредством успешной целевой фишинговой кампании, нацеленной на конкретных сотрудников компании. Злоумышленник выдал себя за рекрутера компании Meta, материнской компании Facebook, и связался с разработчиками аэрокосмической фирмы через LinkedIn Messaging.
Сотрудник, которого обманом заставили ответить на первоначальное сообщение, получил два задания по кодированию, предположительно для проверки уровня владения сотрудником языком программирования C++. На самом деле задачи по кодированию, размещенные на сторонней облачной платформе хранения, содержали вредоносные исполняемые файлы, которые тайно загружали дополнительные полезные данные в систему сотрудников, когда они пытались решить задачу.
Первой из этих полезных нагрузок был загрузчик HTTPS, который исследователи ESET назвали NickelLoader. По сути, этот инструмент позволял участникам группы Lazarus развертывать любую программу по своему выбору в памяти скомпрометированной системы. В данном случае группа Lazarus использовала NickelLoader для установки двух RAT — версии BlindingCan с ограниченной функциональностью и бэкдора LightlessCan. Роль упрощенной версии BlindingCan, которую ESET назвала miniBlindingCan, заключается в сборе системной информации, такой как имя компьютера, версия Windows и данные конфигурации, а также в получении и выполнении команд с сервера управления и контроля (C2). .
По мнению исследователя ESET, для организаций, на которые нацелена группа Lazarus, LightlessCan представляет собой новую серьезную угрозу. Питер Калнаи написал в своем блоге подробное описание недавно обнаруженного вредоносного ПО.
Конструкция вредоносного ПО дает участникам группы Lazarus возможность существенно сдерживать следы вредоносной активности в скомпрометированных системах, тем самым ограничивая возможности средств контроля в реальном времени и инструментов криминалистики для ее обнаружения.
Крыса, скрывающаяся от мониторинга в реальном времени и инструментов криминалистики
LightlessCan интегрирует поддержку до 68 различных команд, многие из которых имитируют собственные команды Windows, такие как ping, ipconfig, systeminfo и net, для сбора информации о системе и среде. На данный момент фактически работоспособны только 43 из этих команд — остальные являются своего рода заполнителями, которые злоумышленник, предположительно, сделает полностью функциональными позднее, что позволяет предположить, что инструмент все еще находится в стадии разработки.
«Проект, лежащий в основе RAT, определенно основан на исходном коде BlindingCan, поскольку порядок общих команд в значительной степени сохраняется, даже несмотря на то, что могут быть различия в их индексации», — объяснил Калнаи в своем блоге.
Однако LightlessCan кажется значительно более продвинутым, чем BoundlessCan. Помимо прочего, новый троянец позволяет выполнять собственные команды Windows внутри самой RAT.
«Этот подход дает значительное преимущество с точки зрения скрытности, как для обхода решений мониторинга в реальном времени, таких как обнаружение и реагирование на конечных точках (EDR), так и для посмертных инструментов цифровой криминалистики», — написал Калнаи.
Злоумышленник также настроил LightlessCan таким образом, что его зашифрованные полезные данные можно расшифровать только с помощью ключа дешифрования, специфичного для скомпрометированной машины. Цель состоит в том, чтобы гарантировать, что расшифровка полезной нагрузки возможна только на целевых системах, а не в какой-либо другой среде. Калнаи отметил: например, система, принадлежащая исследователю безопасности.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace
- :имеет
- :является
- :нет
- $UP
- 2014
- 7
- a
- способность
- доступ
- По
- активный
- деятельность
- актеры
- на самом деле
- добавленный
- дополнительный
- продвинутый
- плюс
- Аэрокосмическая индустрия
- аэрокосмическая фирма
- агентствах
- разрешено
- причислены
- среди
- an
- анализ
- и
- любой
- появляется
- подхода
- APT
- МЫ
- Арсенал
- AS
- At
- атаковать
- нападки
- попытка
- задняя дверь
- Банки
- основанный
- в основном
- BE
- становиться
- за
- верить
- принадлежащий
- Блог
- изоферменты печени
- C + +
- Кампания
- CAN
- случаев
- цепь
- вызов
- проблемы
- проверка
- выбор
- облако
- облачного хранения
- код
- Кодирование
- собирать
- Компания
- комплекс
- скомпрометированы
- Ослабленный
- компьютер
- Конфигурация
- содержать
- содержащегося
- контрольная
- В настоящее время
- кибер-
- данным
- определенно
- развертывание
- Проект
- Детализация
- обнаружение
- разрушительный
- застройщиков
- Развитие
- Различия
- Интернет
- открытый
- отчетливый
- долларов
- Падение
- дублированный
- Сотрудник
- сотрудников
- позволяет
- зашифрованный
- Конечная точка
- энергетика
- обеспечивать
- Предприятие
- безопасность предприятия
- Окружающая среда
- установленный
- Даже
- развивается
- выполнять
- выполненный
- выполнение
- объяснены
- что его цель
- знакомый
- финансовый
- Финансовые институты
- Фирма
- Во-первых,
- флагман
- после
- Что касается
- судебный
- от
- полностью
- функциональная
- получила
- сбор
- дает
- цель
- Правительство
- государственные учреждения
- группы
- Группы
- Есть
- состоялся
- HTTPS
- in
- информация
- начальный
- учреждения
- Интегрируется
- в
- IT
- ЕГО
- саму трезвость
- JPG
- Основные
- Корея
- Корейский
- язык
- новее
- Лазарь
- Лазарь Групп
- такое как
- ограничивающий
- машина
- сделать
- вредоносных программ
- способ
- многих
- Май..
- Память
- сообщение
- обмен сообщениями
- Мета
- миллионы
- момент
- Мониторинг
- БОЛЕЕ
- самых
- имя
- Названный
- родной
- сеть
- Новые
- вновь
- север
- Северная Корея
- отметил,
- многочисленный
- of
- Предложения
- on
- ONE
- только
- заказ
- организации
- Другое
- за
- Картинки
- пинг
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- представляет
- возможное
- После
- FitPartner™
- Программирование
- Проект
- RAT
- реального времени
- Реальность
- Получать
- получила
- удаленные
- удаленный доступ
- представляет
- исследователь
- исследователи
- ответ
- ОТДЫХ
- сфальсифицировано
- Роли
- s
- безопасность
- чувствительный
- сервер
- общие
- показал
- значительный
- существенно
- упрощенный
- с
- Решения
- РЕШАТЬ
- некоторые
- Sony
- Источник
- исходный код
- Испанский
- конкретный
- Спотовая торговля
- По-прежнему
- украли
- диск
- успешный
- такие
- поддержка
- система
- системы
- цель
- целевое
- направлены
- команды
- десятки
- terms
- чем
- который
- Ассоциация
- их
- Там.
- тем самым
- Эти
- они
- вещи
- сторонние
- этой
- те
- хоть?
- угроза
- в
- инструментом
- инструменты
- Отслеживание
- троянец
- два
- под
- us
- используемый
- через
- версия
- очень
- с помощью
- законопроект
- Путь..
- когда
- , которые
- КТО
- широкий
- будете
- окна
- в
- писал
- лет
- зефирнет