Nordkorea poserar som meta för att distribuera komplex bakdörr på Aerospace Org

Nordkoreas statligt sponsrade Lazarus Group verkar ha lagt till en komplex och fortfarande utvecklande ny bakdörr till sin malwarearsenal, först upptäckt i en framgångsrik cyberkompromiss av ett spanskt flygföretag.

Forskare från ESET som upptäckte skadlig programvara spårar det nya hotet som "LightlessCan" och tror att det är baserat på källkod från hotgruppens flaggskepp BlindingCan fjärråtkomst Trojan (RAT).

Lazarus är en nordkoreansk statsstödd hotgrupp som amerikanska organisationer och företagssäkerhetsteam har blivit mycket bekanta med genom åren. Sedan den först fick stor ryktbarhet med en förödande attack mot Sony Pictures 2014, har Lazarus-gruppen etablerat sig som en av de mest skadliga grupperna för avancerade persistent hot (APT) som för närvarande är aktiva. Under åren har den stulit tiotals miljoner dollar med attacker mot banker och andra finansiella institutioner; exfiltrerade terabyte av känslig information från försvarsentreprenörer, statliga myndigheter, vårdorganisationer och energiföretag; och avrättade många kryptovaluta rån och attacker i leveranskedjan.

Spear-phishing som meta för initial åtkomst

ESET:s analys av attacken mot det spanska flygföretaget visade att Lazarus-aktörer fick första åtkomst via en framgångsrik spjutfiskekampanj riktad mot specifika anställda på företaget. Hotaktören maskerade sig som rekryterare för Facebook-föräldern Meta och kontaktade utvecklare på flygföretaget via LinkedIn Messaging.

En anställd som lurades att följa upp det första meddelandet fick två kodningsutmaningar, påstås kontrollera medarbetarens färdigheter i programmeringsspråket C++. I verkligheten innehöll kodningsutmaningarna – värd på en tredjeparts molnlagringsplattform – skadliga körbara filer som i smyg laddade ner ytterligare nyttolaster på den anställdes system när de försökte lösa utmaningen.

Den första av dessa nyttolaster var en HTTPS-nedladdare som ESET-forskare kallade NickelLoader. Verktyget gjorde det i princip möjligt för Lazarus-gruppens aktörer att distribuera valfritt program till det komprometterade systemets minne. I det här fallet använde Lazarus-gruppen NickelLoader för att släppa två RAT:er - en version med begränsad funktion av BlindingCan och LightlessCan-bakdörren. Rollen för den förenklade versionen av BlindingCan – som ESET har döpt till miniBlindingCan – är att samla in systeminformation som datornamn, Windows-version och konfigurationsdata, och att även ta emot och utföra kommandon från kommando-och-kontroll-servern (C2). .

För organisationer som Lazarus-gruppen riktar sig till representerar LightlessCan ett betydande nytt hot, enligt ESET-forskare Peter Kálnai skrev i ett blogginlägg beskriver den nyupptäckta skadliga programvaran.

Skadlig programvaras design ger Lazarus-gruppens aktörer ett sätt att avsevärt innehålla spår av skadlig aktivitet på komprometterade system och därigenom begränsa möjligheten för realtidsövervakningskontroller och kriminaltekniska verktyg att upptäcka det.

En RÅTTA som gömmer sig från realtidsövervakning och kriminaltekniska verktyg

LightlessCan integrerar stöd för så många som 68 distinkta kommandon, varav många efterliknar inbyggda Windows-kommandon, såsom ping, ipconfig, systeminfo och net för att samla system- och miljöinformation. Endast 43 av dessa kommandon är faktiskt funktionella för tillfället - resten är typ av platshållare som hotaktören förmodligen kommer att göra fullt fungerande vid någon senare tidpunkt, vilket tyder på att verktyget fortfarande är under utveckling. 

"Projektet bakom RAT är definitivt baserat på BlindingCan-källkoden, eftersom ordningen på de delade kommandona bevaras avsevärt, även om det kan finnas skillnader i deras indexering," förklarade Kálnai i blogginlägget.

LightlessCan verkar dock vara betydligt mer avancerad än BoundlessCan. Bland annat möjliggör den nya trojanen exekvering av de inbyggda Windows-kommandona i själva RAT. 

"Det här tillvägagångssättet erbjuder en betydande fördel när det gäller smygsamhet, både när det gäller att undvika realtidsövervakningslösningar som endpoint detection and response (EDRs), och postmortem digitala forensiska verktyg," skrev Kálnai.

Hotaktören har också riggat LightlessCan på ett sådant sätt att dess krypterade nyttolast endast kan dekrypteras med en dekrypteringsnyckel som är specifik för den komprometterade maskinen. Målet är att säkerställa att dekrypteringen av nyttolasten endast är möjlig på målsystem och inte i någon annan miljö, Kálnai noterade, till exempel ett system som tillhör en säkerhetsforskare.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace