CarderPlanet
Professional
- Messages
- 2,549
- Reaction score
- 724
- Points
- 113
Связанная с Северной Кореей Lazarus Group была причастна к кибершпионажной атаке, направленной против неназванной аэрокосмической компании в Испании, в ходе которой к сотрудникам фирмы обратился злоумышленник, выдававший себя за рекрутера для Meta.
"Фальшивый рекрутер связался с сотрудниками целевой компании через LinkedIn и обманом заставил их открыть вредоносный исполняемый файл, представляющий собой задание по программированию или викторину", - сказал исследователь безопасности ESET Питер Калнаи в техническом отчете, опубликованном в Hacker News.
Атака является частью давней фишинг-кампании под названием Operation Dream Job, организованной хакерской командой в попытке заманить сотрудников, работающих на потенциальных объектах, представляющих стратегический интерес, выгодными вакансиями, чтобы активировать цепочку заражения.
Ранее в марте этого года словацкая компания по кибербезопасности подробно описала волну атак, направленных на пользователей Linux, которые включали использование поддельных предложений о работе от HSBC для запуска бэкдора под названием SimplexTea.
Конечной целью последнего вторжения, разработанного для систем Windows, является внедрение имплантата под кодовым названием LightlessCan.
"Наиболее тревожным аспектом атаки является новый тип полезной нагрузки LightlessCan, сложный и, возможно, развивающийся инструмент, который демонстрирует высокий уровень сложности в своем дизайне и эксплуатации и представляет собой значительный прогресс в возможностях вредоносного ПО по сравнению со своим предшественником BLINDINGCAN", - сказал Калнаи.
BLINDINGCAN, также известная под названиями AIRDRY или ZetaNile, представляет собой многофункциональную вредоносную программу, способную собирать конфиденциальную информацию с проникших хостов.
Все началось с того, что цель получила сообщение в LinkedIn от поддельного рекрутера, работающего на Meta Platforms, который затем отправил две задачи по кодированию в рамках предполагаемого процесса найма и убедил жертву выполнить тестовые файлы (названные Quiz1.iso и Quiz2.iso ), размещенной на сторонней облачной платформе хранения данных.
ESET заявила, что ISO-файлы, содержащие вредоносные двоичные файлы Quiz1.exe и Quiz2.exe, были загружены и запущены на устройстве, предоставленном компанией, что фактически привело к самокомпромиссии системы и взлому корпоративной сети.
Атака открывает путь для HTTP-загрузчика, известного как NickelLoader, который позволяет злоумышленникам внедрять любую желаемую программу в память компьютера жертвы, включая троянец удаленного доступа LightlessCan и вариант BLINDINGCAN, известный как miniBlindingCan (он же AIRDRY.V2).
LightlessCan оснащен поддержкой целых 68 различных команд, хотя в его текущей версии только 43 из этих команд реализованы с определенной функциональностью. Основной обязанностью tminiBlindingCan является передача системной информации и загрузка файлов, полученных с удаленного сервера, среди прочего.
Примечательной особенностью кампании является использование защитных ограждений для предотвращения расшифровки полезных данных и запуска их на любом другом компьютере, отличном от компьютера предполагаемой жертвы.
"LightlessCan имитирует функциональные возможности широкого спектра собственных команд Windows, обеспечивая незаметное выполнение в самой RAT вместо шумных консольных запусков", - сказал Калнаи. "Этот стратегический сдвиг повышает скрытность, усложняя обнаружение и анализ действий злоумышленника".
