Zdi se, da je severnokorejska skupina Lazarus Group, ki jo sponzorira država, svojemu arzenalu zlonamerne programske opreme dodala nova zapletena in še vedno razvijajoča se zadnja vrata, ki so jih prvič opazili pri uspešnem kibernetskem kompromisu španskega letalskega podjetja.
Raziskovalci družbe ESET, ki so odkrili zlonamerno programsko opremo, sledijo novi grožnji kot »LightlessCan« in verjamejo, da temelji na izvorni kodi vodilnega trojanca BlindingCan za oddaljeni dostop (RAT) skupine groženj.
Lazarus je groženjska skupina Severne Koreje, ki jo podpira država in so jo ameriške organizacije in varnostne skupine v podjetjih v preteklih letih dobro poznale. Odkar je prvič postala razvpita z uničujočim napadom na Sony Pictures leta 2014, se je skupina Lazarus uveljavila kot ena najbolj škodljivih skupin naprednih trajnih groženj (APT), ki so trenutno aktivne. V preteklih letih je z napadi na banke in druge finančne institucije ukradel na desetine milijonov dolarjev; izločil terabajte občutljivih informacij obrambni izvajalci, vladne agencije, zdravstvenih organizacij in energetskih podjetij; in usmrtili številne ropi kriptovalut in napadi dobavne verige.
Spear-Phishing kot Meta za začetni dostop
ESET-ova analiza napada na špansko vesoljsko podjetje je pokazala, da so akterji Lazarusa pridobili začetni dostop prek uspešne kampanje lažnega predstavljanja, ki je bila usmerjena na določene zaposlene v podjetju. Igralec grožnje se je predstavljal kot rekruter za Facebookovega starša Meto in je stopil v stik z razvijalci v letalskem podjetju prek LinkedIn Messaging.
Zaposleni, ki so ga prevarali, da je sledil začetnemu sporočilu, je prejel dva izziva kodiranja, domnevno za preverjanje zaposlenega znanja programskega jezika C++. V resnici so izzivi kodiranja – gostovani na platformi za shranjevanje v oblaku tretje osebe – vsebovali zlonamerne izvedljive datoteke, ki so prikrito prenesle dodatne koristne obremenitve v sistem zaposlenega, ko so poskušali rešiti izziv.
Prvi od teh uporabnih obremenitev je bil prenosnik HTTPS, ki so ga raziskovalci ESET-a poimenovali NickelLoader. Orodje je v bistvu omogočalo igralcem skupine Lazarus, da v pomnilnik ogroženega sistema namestijo kateri koli program po svoji izbiri. V tem primeru je skupina Lazarus uporabila NickelLoader, da je spustila dva RAT-ja – različico BlindingCan z omejeno funkcijo in stranska vrata LightlessCan. Vloga poenostavljene različice BlindingCan – ki jo je ESET poimenoval miniBlindingCan – je zbiranje informacij o sistemu, kot so ime računalnika, različica sistema Windows in konfiguracijski podatki, ter prejemanje in izvajanje ukazov s strežnika za ukaze in nadzor (C2). .
Za organizacije, na katere cilja skupina Lazarus, LightlessCan predstavlja pomembno novo grožnjo, meni raziskovalec ESET Peter Kálnai je zapisal v objavi na blogu s podrobnostmi o novoodkriti zlonamerni programski opremi.
Zasnova zlonamerne programske opreme daje akterjem skupine Lazarus način, da v veliki meri zadržijo sledi zlonamerne dejavnosti na ogroženih sistemih, s čimer omejujejo zmožnost nadzora v realnem času in forenzičnih orodij, da jo odkrijejo.
PODGANA, ki se skriva pred spremljanjem v realnem času in forenzičnimi orodji
LightlessCan vključuje podporo za kar 68 različnih ukazov, od katerih mnogi posnemajo izvorne ukaze Windows, kot so ping, ipconfig, systeminfo in net za zbiranje informacij o sistemu in okolju. Samo 43 od teh ukazov je trenutno dejansko delujočih - ostali so nekakšni nadomestni znaki, ki jih bo povzročitelj grožnje predvidoma omogočil, da bodo v celoti delovali pozneje, kar kaže, da je orodje še v razvoju.
"Projekt za RAT vsekakor temelji na izvorni kodi BlindingCan, saj je vrstni red ukazov v skupni rabi znatno ohranjen, čeprav lahko pride do razlik v njihovem indeksiranju," je pojasnil Kálnai v objavi na blogu.
Vendar se zdi, da je LightlessCan bistveno naprednejši od BoundlessCan. Novi trojanec med drugim omogoča izvajanje domačih Windows ukazov znotraj samega RAT-a.
"Ta pristop ponuja pomembno prednost v smislu prikritosti, tako pri izogibanju rešitvam za spremljanje v realnem času, kot je zaznavanje in odziv končne točke (EDR), kot posmrtnim digitalnim forenzičnim orodjem," je zapisal Kálnai.
Akter grožnje je tudi opremil LightlessCan na tak način, da je njegovo šifrirano vsebino mogoče dešifrirati le z uporabo ključa za dešifriranje, ki je specifičen za ogroženi stroj. Cilj je zagotoviti, da je dešifriranje koristnega tovora možno le v ciljnih sistemih in ne v katerem koli drugem okolju, Kálnai je opozoril, kot je sistem, ki pripada varnostnemu raziskovalcu.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace
- :ima
- : je
- :ne
- $GOR
- 2014
- 7
- a
- sposobnost
- dostop
- Po
- aktivna
- dejavnost
- akterji
- dejansko
- dodano
- Dodatne
- napredno
- Prednost
- Aerospace
- vesoljsko podjetje
- agencije
- dovoljene
- Prav tako
- med
- an
- Analiza
- in
- kaj
- se prikaže
- pristop
- APT
- SE
- Arsenal
- AS
- At
- napad
- Napadi
- poskus
- Zakulisni
- Banke
- temeljijo
- V bistvu
- BE
- postanejo
- zadaj
- Verjemite
- pripadnosti
- Blog
- tako
- C + +
- Akcija
- CAN
- primeru
- verige
- izziv
- izzivi
- preveriti
- izbira
- Cloud
- Cloud Storage
- Koda
- Kodiranje
- zbiranje
- podjetje
- kompleksna
- Kompromis
- Ogroženo
- računalnik
- konfiguracija
- vsebujejo
- vseboval
- Nadzor
- Trenutno
- cyber
- datum
- vsekakor
- razporedi
- Oblikovanje
- Podrobnosti
- Odkrivanje
- uničujoče
- Razvijalci
- Razvoj
- razlike
- digitalni
- odkril
- izrazit
- dolarjev
- Drop
- poimenovan
- Zaposlen
- Zaposleni
- omogoča
- šifriran
- Končna točka
- energija
- zagotovitev
- Podjetje
- varnost podjetja
- okolje
- ustanovljena
- Tudi
- razvija
- izvršiti
- izvršeno
- izvedba
- razložiti
- seznanjeni
- finančna
- Finančne ustanove
- Firm
- prva
- Vodilna
- po
- za
- Forenzik
- iz
- v celoti
- funkcionalno
- pridobljeno
- zbiranje
- daje
- Cilj
- vlada
- vladne agencije
- skupina
- Skupine
- Imajo
- gostila
- HTTPS
- in
- Podatki
- začetna
- Institucije
- Integrira
- v
- IT
- ITS
- sam
- jpg
- Ključne
- korea
- Korejski
- jezik
- pozneje
- Lazarus
- Skupina Lazarus
- kot
- omejujoč
- stroj
- Znamka
- zlonamerna programska oprema
- Način
- več
- Maj ..
- Spomin
- Sporočilo
- sporočanje
- Meta
- milijoni
- Trenutek
- spremljanje
- več
- Najbolj
- Ime
- Imenovan
- materni
- net
- Novo
- na novo
- sever
- Severna Koreja
- opozoriti
- številne
- of
- Ponudbe
- on
- ONE
- samo
- Da
- organizacije
- Ostalo
- več
- slike
- ping
- platforma
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Točka
- pozira
- mogoče
- Prispevek
- Program
- Programiranje
- Projekt
- PODGANA
- v realnem času
- Reality
- prejeti
- prejetih
- daljinsko
- Remote Access
- predstavlja
- raziskovalec
- raziskovalci
- Odgovor
- REST
- nameščen
- vloga
- s
- varnost
- občutljiva
- strežnik
- deli
- je pokazala,
- pomemben
- bistveno
- poenostavljeno
- saj
- rešitve
- SOLVE
- nekaj
- Sony
- vir
- Izvorna koda
- španski
- specifična
- Komercialni
- Še vedno
- ukradeno
- shranjevanje
- uspešno
- taka
- podpora
- sistem
- sistemi
- ciljna
- ciljno
- ciljanje
- Skupine
- deset
- Pogoji
- kot
- da
- O
- njihove
- Tukaj.
- s tem
- te
- jih
- stvari
- tretjih oseb
- ta
- tisti,
- čeprav?
- Grožnja
- do
- orodje
- orodja
- Sledenje
- Trojan
- dva
- pod
- us
- Rabljeni
- uporabo
- različica
- zelo
- preko
- je
- način..
- kdaj
- ki
- WHO
- široka
- bo
- okna
- z
- v
- Napisal
- let
- zefirnet
