Північна Корея виступає за Meta для розгортання комплексу Backdoor в Aerospace Org

Спонсорована державою Північна Корея Lazarus Group, схоже, додала новий складний і все ще розвивається новий бекдор до свого арсеналу зловмисного програмного забезпечення, вперше поміченого під час успішного кіберзлому іспанської аерокосмічної компанії.

Дослідники з ESET, які виявили зловмисне програмне забезпечення, відстежують нову загрозу як «LightlessCan» і вважають, що вона заснована на вихідному коді флагманського трояна віддаленого доступу BlindingCan групи загроз (RAT).

Lazarus — це північнокорейська державна група загроз, з якою американські організації та команди корпоративної безпеки добре знайомі протягом багатьох років. Відтоді як у 2014 році група Lazarus вперше отримала широку популярність після нищівної атаки на Sony Pictures, вона зарекомендувала себе як одна з найбільш згубних угруповань із розширеною стійкою загрозою (APT), які діють на даний момент. Протягом багатьох років вона вкрала десятки мільйонів доларів за допомогою нападів на банки та інші фінансові установи; викрадено терабайти конфіденційної інформації з оборонні підрядники, державні установи, організації охорони здоров'я та енергетичні компанії; і страчено численні крадіжки криптовалюти та атаки ланцюга поставок.

Фішинг як мета для початкового доступу

Аналіз ESET атаки на іспанську аерокосмічну компанію показав, що учасники Lazarus отримали початковий доступ через успішну фішингову кампанію, спрямовану на конкретних співробітників компанії. Актор загрози видавався за рекрутера компанії-батька Facebook Meta та зв’язувався з розробниками аерокосмічної фірми через службу обміну повідомленнями LinkedIn.

Співробітник, якого обманом змусили виконати початкове повідомлення, отримав два тести на кодування, нібито для перевірки рівня володіння мовою програмування C++. Насправді виклики кодування, розміщені на платформі хмарного зберігання сторонніх розробників, містили шкідливі виконувані файли, які таємно завантажували додаткові корисні дані в систему співробітника, коли вони намагалися вирішити завдання.

Першим із цих корисних навантажень був завантажувач HTTPS, який дослідники ESET назвали NickelLoader. Інструмент фактично дозволяв учасникам групи Lazarus розгортати будь-яку програму на свій вибір у пам’яті скомпрометованої системи. У цьому випадку група Lazarus використовувала NickelLoader для скидання двох RAT — обмеженої версії BlindingCan і бекдора LightlessCan. Роль спрощеної версії BlindingCan — яку ESET назвала miniBlindingCan — полягає в зборі системної інформації, такої як ім’я комп’ютера, версія Windows і конфігураційні дані, а також отримання та виконання команд із сервера команд і керування (C2). .

За словами дослідника ESET, для організацій, на які націлена група Lazarus, LightlessCan представляє значну нову загрозу. Пітер Калнай написав у своєму блозі деталізовано нещодавно виявлену шкідливу програму.

Конструкція зловмисного програмного забезпечення дає учасникам групи Lazarus можливість суттєво стримувати сліди зловмисної активності на скомпрометованих системах, тим самим обмежуючи здатність засобів контролю в режимі реального часу та криміналістичних інструментів виявити це.

ЩУР, який ховається від моніторингу в реальному часі та криміналістичних інструментів

LightlessCan інтегрує підтримку до 68 різних команд, багато з яких імітують власні команди Windows, такі як ping, ipconfig, systeminfo та net для збору інформації про систему та середовище. Лише 43 із цих команд на даний момент фактично функціональні — решта — це свого роду заповнювачі, які загрозливий суб’єкт, імовірно, зробить повністю функціональними пізніше, що означає, що інструмент все ще розробляється. 

«Проект, що лежить в основі RAT, безсумнівно, базується на вихідному коді BlindingCan, оскільки порядок спільних команд значно зберігається, навіть незважаючи на те, що в їх індексації можуть бути відмінності», — пояснив Калнаї в дописі в блозі.

Проте LightlessCan виявляється значно досконалішим, ніж BoundlessCan. Серед іншого, новий троян дозволяє виконувати рідні команди Windows у самій RAT. 

«Цей підхід пропонує значну перевагу з точки зору скритності, як в обході рішень моніторингу в реальному часі, таких як виявлення кінцевих точок і реагування (EDR), так і посмертних цифрових криміналістичних інструментів», — написав Калнаї.

Зловмисник також сфальсифікував LightlessCan таким чином, що його зашифроване корисне навантаження можна розшифрувати лише за допомогою ключа дешифрування, який є специфічним для скомпрометованої машини. Мета полягає в тому, щоб гарантувати, що розшифровка корисного навантаження можлива лише в цільових системах, а не в будь-якому іншому середовищі, Kálnai зазначив, наприклад система, що належить досліднику безпеки.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace