Спонсорована державою Північна Корея Lazarus Group, схоже, додала новий складний і все ще розвивається новий бекдор до свого арсеналу зловмисного програмного забезпечення, вперше поміченого під час успішного кіберзлому іспанської аерокосмічної компанії.
Дослідники з ESET, які виявили зловмисне програмне забезпечення, відстежують нову загрозу як «LightlessCan» і вважають, що вона заснована на вихідному коді флагманського трояна віддаленого доступу BlindingCan групи загроз (RAT).
Lazarus — це північнокорейська державна група загроз, з якою американські організації та команди корпоративної безпеки добре знайомі протягом багатьох років. Відтоді як у 2014 році група Lazarus вперше отримала широку популярність після нищівної атаки на Sony Pictures, вона зарекомендувала себе як одна з найбільш згубних угруповань із розширеною стійкою загрозою (APT), які діють на даний момент. Протягом багатьох років вона вкрала десятки мільйонів доларів за допомогою нападів на банки та інші фінансові установи; викрадено терабайти конфіденційної інформації з оборонні підрядники, державні установи, організації охорони здоров'я та енергетичні компанії; і страчено численні крадіжки криптовалюти та атаки ланцюга поставок.
Фішинг як мета для початкового доступу
Аналіз ESET атаки на іспанську аерокосмічну компанію показав, що учасники Lazarus отримали початковий доступ через успішну фішингову кампанію, спрямовану на конкретних співробітників компанії. Актор загрози видавався за рекрутера компанії-батька Facebook Meta та зв’язувався з розробниками аерокосмічної фірми через службу обміну повідомленнями LinkedIn.
Співробітник, якого обманом змусили виконати початкове повідомлення, отримав два тести на кодування, нібито для перевірки рівня володіння мовою програмування C++. Насправді виклики кодування, розміщені на платформі хмарного зберігання сторонніх розробників, містили шкідливі виконувані файли, які таємно завантажували додаткові корисні дані в систему співробітника, коли вони намагалися вирішити завдання.
Першим із цих корисних навантажень був завантажувач HTTPS, який дослідники ESET назвали NickelLoader. Інструмент фактично дозволяв учасникам групи Lazarus розгортати будь-яку програму на свій вибір у пам’яті скомпрометованої системи. У цьому випадку група Lazarus використовувала NickelLoader для скидання двох RAT — обмеженої версії BlindingCan і бекдора LightlessCan. Роль спрощеної версії BlindingCan — яку ESET назвала miniBlindingCan — полягає в зборі системної інформації, такої як ім’я комп’ютера, версія Windows і конфігураційні дані, а також отримання та виконання команд із сервера команд і керування (C2). .
За словами дослідника ESET, для організацій, на які націлена група Lazarus, LightlessCan представляє значну нову загрозу. Пітер Калнай написав у своєму блозі деталізовано нещодавно виявлену шкідливу програму.
Конструкція зловмисного програмного забезпечення дає учасникам групи Lazarus можливість суттєво стримувати сліди зловмисної активності на скомпрометованих системах, тим самим обмежуючи здатність засобів контролю в режимі реального часу та криміналістичних інструментів виявити це.
ЩУР, який ховається від моніторингу в реальному часі та криміналістичних інструментів
LightlessCan інтегрує підтримку до 68 різних команд, багато з яких імітують власні команди Windows, такі як ping, ipconfig, systeminfo та net для збору інформації про систему та середовище. Лише 43 із цих команд на даний момент фактично функціональні — решта — це свого роду заповнювачі, які загрозливий суб’єкт, імовірно, зробить повністю функціональними пізніше, що означає, що інструмент все ще розробляється.
«Проект, що лежить в основі RAT, безсумнівно, базується на вихідному коді BlindingCan, оскільки порядок спільних команд значно зберігається, навіть незважаючи на те, що в їх індексації можуть бути відмінності», — пояснив Калнаї в дописі в блозі.
Проте LightlessCan виявляється значно досконалішим, ніж BoundlessCan. Серед іншого, новий троян дозволяє виконувати рідні команди Windows у самій RAT.
«Цей підхід пропонує значну перевагу з точки зору скритності, як в обході рішень моніторингу в реальному часі, таких як виявлення кінцевих точок і реагування (EDR), так і посмертних цифрових криміналістичних інструментів», — написав Калнаї.
Зловмисник також сфальсифікував LightlessCan таким чином, що його зашифроване корисне навантаження можна розшифрувати лише за допомогою ключа дешифрування, який є специфічним для скомпрометованої машини. Мета полягає в тому, щоб гарантувати, що розшифровка корисного навантаження можлива лише в цільових системах, а не в будь-якому іншому середовищі, Kálnai зазначив, наприклад система, що належить досліднику безпеки.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace
- : має
- :є
- : ні
- $UP
- 2014
- 7
- a
- здатність
- доступ
- За
- активний
- діяльність
- актори
- насправді
- доданий
- Додатковий
- просунутий
- Перевага
- Авіаційно-космічний
- аерокосмічна фірма
- агентства
- дозволено
- Також
- серед
- an
- аналіз
- та
- будь-який
- з'являється
- підхід
- APT
- ЕСТЬ
- арсенал
- AS
- At
- атака
- нападки
- спробував
- закулісний
- Банки
- заснований
- В основному
- BE
- ставати
- за
- Вірити
- належність
- Блог
- обидва
- C + +
- Кампанія
- CAN
- випадок
- ланцюг
- виклик
- проблеми
- перевірка
- вибір
- хмара
- Cloud Storage
- код
- Кодування
- збирати
- компанія
- комплекс
- компроміс
- Компрометація
- комп'ютер
- конфігурація
- містити
- містяться
- управління
- В даний час
- кібер-
- дані
- безумовно
- розгортання
- дизайн
- Деталізація
- Виявлення
- руйнівний
- розробників
- розробка
- Відмінності
- цифровий
- відкритий
- чіткий
- доларів
- Падіння
- охрестили
- Співробітник
- співробітників
- дозволяє
- зашифрованих
- Кінцева точка
- енергія
- забезпечувати
- підприємство
- безпека підприємства
- Навколишнє середовище
- встановлений
- Навіть
- еволюціонує
- виконувати
- виконано
- виконання
- пояснені
- знайомий
- фінансовий
- Фінансові установи
- Фірма
- Перший
- Флагман
- після
- для
- Криміналістика
- від
- повністю
- функціональний
- отримала
- збір
- дає
- мета
- Уряд
- державні установи
- Group
- Групи
- Мати
- відбувся
- HTTPS
- in
- інформація
- початковий
- установи
- Інтеграція
- в
- IT
- ЙОГО
- сам
- JPG
- ключ
- Корея
- корейський
- мова
- пізніше
- Лазар
- Група «Лазар»
- як
- обмежуючий
- машина
- зробити
- шкідливих програм
- манера
- багато
- Може..
- пам'ять
- повідомлення
- обмін повідомленнями
- Meta
- мільйони
- момент
- моніторинг
- більше
- найбільш
- ім'я
- Названий
- рідний
- мережу
- Нові
- нещодавно
- На північ
- Північна Корея
- зазначив,
- численний
- of
- Пропозиції
- on
- ONE
- тільки
- порядок
- організації
- Інше
- над
- фотографії
- пінг
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- точка
- позах
- це можливо
- пошта
- програма
- Програмування
- проект
- ЩУР
- реального часу
- Реальність
- отримати
- отримано
- віддалений
- Віддалений доступ
- представляє
- дослідник
- Дослідники
- відповідь
- REST
- фальсифіковані
- Роль
- s
- безпеку
- чутливий
- сервер
- загальні
- показав
- значний
- істотно
- спрощений
- з
- Рішення
- ВИРІШИТИ
- деякі
- Sony
- Source
- вихідні
- іспанська
- конкретний
- Spot
- Як і раніше
- вкрали
- зберігання
- успішний
- такі
- підтримка
- система
- Systems
- Мета
- цільове
- націлювання
- команди
- тензор
- terms
- ніж
- Що
- Команда
- їх
- Там.
- тим самим
- Ці
- вони
- речі
- третя сторона
- це
- ті
- хоча?
- загроза
- до
- інструмент
- інструменти
- Відстеження
- троянець
- два
- при
- us
- використовуваний
- використання
- версія
- дуже
- через
- було
- шлях..
- коли
- який
- ВООЗ
- широкий
- волі
- windows
- з
- в
- пише
- років
- зефірнет