Triều Tiên đóng vai trò là Meta để triển khai cửa hậu phức tạp tại Tổ chức hàng không vũ trụ

Tập đoàn Lazarus do nhà nước Triều Tiên bảo trợ dường như đã bổ sung một cửa hậu mới phức tạp và vẫn đang phát triển vào kho vũ khí phần mềm độc hại của mình, lần đầu tiên được phát hiện trong một cuộc tấn công mạng thành công của một công ty hàng không vũ trụ Tây Ban Nha.

Các nhà nghiên cứu từ ESET đã phát hiện ra phần mềm độc hại đang theo dõi mối đe dọa mới có tên “LightlessCan” và tin rằng nó dựa trên mã nguồn từ Trojan truy cập từ xa BlindingCan (RAT) hàng đầu của nhóm mối đe dọa này.

Lazarus là nhóm đe dọa được nhà nước Triều Tiên hậu thuẫn mà các tổ chức và đội an ninh doanh nghiệp của Mỹ đã trở nên rất quen thuộc trong nhiều năm qua. Kể từ lần đầu tiên nổi tiếng với cuộc tấn công tàn khốc vào Sony Pictures vào năm 2014, nhóm Lazarus đã tự khẳng định mình là một trong những nhóm đe dọa dai dẳng (APT) nguy hiểm nhất hiện đang hoạt động. Trong những năm qua, nó đã đánh cắp hàng chục triệu đô la bằng các cuộc tấn công vào ngân hàng và các tổ chức tài chính khác; lấy được hàng terabyte thông tin nhạy cảm từ nhà thầu quốc phòng, cơ quan chính phủ, các tổ chức chăm sóc sức khỏe và các công ty năng lượng; và xử tử nhiều vụ cướp tiền điện tử và các cuộc tấn công chuỗi cung ứng.

Spear-Phishing dưới dạng Meta cho quyền truy cập ban đầu

Phân tích của ESET về cuộc tấn công vào công ty hàng không vũ trụ Tây Ban Nha cho thấy các tác nhân Lazarus đã có được quyền truy cập ban đầu thông qua một chiến dịch lừa đảo trực tuyến thành công nhắm vào các nhân viên cụ thể tại công ty. Kẻ đe dọa đã giả dạng nhà tuyển dụng cho Meta, công ty mẹ của Facebook, và liên hệ với các nhà phát triển tại công ty hàng không vũ trụ thông qua LinkedIn Messaging.

Một nhân viên bị lừa theo dõi tin nhắn ban đầu đã nhận được hai thử thách viết mã, nhằm mục đích kiểm tra trình độ thông thạo ngôn ngữ lập trình C++ của nhân viên đó. Trên thực tế, các thử thách mã hóa — được lưu trữ trên nền tảng lưu trữ đám mây của bên thứ ba — chứa các tệp thực thi độc hại đã lén lút tải xuống các tải trọng bổ sung trên hệ thống của nhân viên khi họ cố gắng giải quyết thử thách.

Tải trọng đầu tiên trong số này là trình tải xuống HTTPS mà các nhà nghiên cứu ESET đặt tên là NickelLoader. Về cơ bản, công cụ này cho phép các thành viên trong nhóm Lazarus triển khai bất kỳ chương trình nào họ chọn vào bộ nhớ của hệ thống bị xâm nhập. Trong trường hợp này, nhóm Lazarus đã sử dụng NickelLoader để thả hai RAT — một phiên bản chức năng giới hạn của BlindingCan và cửa sau LightlessCan. Vai trò của phiên bản đơn giản hóa của BlindingCan — mà ESET đặt tên là miniBlindingCan — là thu thập thông tin hệ thống như tên máy tính, phiên bản Windows và dữ liệu cấu hình, đồng thời nhận và thực thi các lệnh từ máy chủ lệnh và điều khiển (C2) .

Theo nhà nghiên cứu của ESET, đối với các tổ chức mà nhóm Lazarus đang nhắm tới, LightlessCan là một mối đe dọa mới đáng kể Peter Kálnai đã viết trong một bài đăng trên blog chi tiết về phần mềm độc hại mới được phát hiện.

Thiết kế của phần mềm độc hại cung cấp cho nhóm Lazarus một cách để ngăn chặn đáng kể dấu vết hoạt động độc hại trên các hệ thống bị xâm nhập, do đó hạn chế khả năng kiểm soát giám sát thời gian thực và các công cụ pháp y để phát hiện ra nó.

Một con chuột trốn khỏi các công cụ giám sát và pháp y theo thời gian thực

LightlessCan tích hợp hỗ trợ tới 68 lệnh riêng biệt, nhiều lệnh bắt chước các lệnh gốc của Windows, chẳng hạn như ping, ipconfig, systeminfo và net để thu thập thông tin hệ thống và môi trường. Hiện tại chỉ có 43 lệnh trong số đó thực sự hoạt động - phần còn lại là loại giữ chỗ mà tác nhân đe dọa có thể sẽ thực hiện đầy đủ chức năng sau này, cho thấy công cụ này vẫn đang được phát triển. 

Kálnai giải thích trong bài đăng trên blog: “Dự án đằng sau RAT chắc chắn dựa trên mã nguồn BlindingCan, vì thứ tự của các lệnh chia sẻ được giữ nguyên đáng kể, mặc dù có thể có sự khác biệt trong cách lập chỉ mục của chúng”.

Tuy nhiên, LightlessCan có vẻ tiên tiến hơn đáng kể so với BoundlessCan. Trong số những thứ khác, Trojan mới cho phép thực thi các lệnh Windows gốc trong chính RAT. 

Kálnai viết: “Cách tiếp cận này mang lại lợi thế đáng kể về khả năng tàng hình, cả trong việc tránh các giải pháp giám sát thời gian thực như phát hiện và phản hồi điểm cuối (EDR) cũng như các công cụ pháp y kỹ thuật số sau khi khám nghiệm tử thi”.

Kẻ đe dọa cũng đã gian lận LightlessCan theo cách mà tải trọng được mã hóa của nó chỉ có thể được giải mã bằng khóa giải mã dành riêng cho máy bị xâm nhập. Mục tiêu là để đảm bảo rằng việc giải mã tải trọng chỉ có thể thực hiện được trên các hệ thống đích chứ không phải trong bất kỳ môi trường nào khác, Kalnai lưu ý, chẳng hạn như một hệ thống thuộc về một nhà nghiên cứu bảo mật.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace