Οι χάκερ της Lazarus παραβιάζουν την αεροδιαστημική εταιρεία με νέο κακόβουλο λογισμικό LightlessCan

Η βορειοκορεα

τι

κή ομάδα χάκερ «Lazarus» στόχευσε υπαλλήλους μιας αεροδιαστημικής εταιρείας που βρίσκεται στην Ισπανία με ψεύτικες ευκαιρίες εργασίας για να εισβάλουν στο εταιρικό δίκτυο χρησιμοποιώντας μια άγνωστη μέχρι τώρα κερκόπορτα «LightlessCan».

Οι χάκερ χρησιμοποίησαν την εν εξελίξει

καμπάνια

τους “Operation Dreamjob”, η οποία συνεπάγεται την προσέγγιση ενός στόχου μέσω του LinkedIn και τη συμμετοχή σε μια ψεύτικη διαδικασία πρόσληψης υπαλλήλων που, σε κάποιο σημείο, απαιτούσε από το θύμα να κατεβάσει ένα αρχείο.

Ο υπάλληλος το έκανε στον υπολογιστή μιας εταιρείας, επιτρέποντας στους βορειοκορεάτες χάκερ να παραβιάσουν το εταιρικό δίκτυο για να πραγματοποιήσουν κατασκοπεία στον κυβερνοχώρο.

Η ESET διερεύνησε

το περιστατικό και θα μπορούσε να ανακατασκευάσει την αρχική πρόσβαση και να ανακτήσει στοιχεία του συνόλου εργαλείων του Lazarus, συμπεριλαμβανομένης μιας προηγουμένως μη τεκμηριωμένης κερκόπορτας, την οποία ονόμασαν «LightlessCan».

Αλυσίδα επίθεσης Λάζαρου

Η επίθεση Operation Dreamjob που ανακατασκευάστηκε από την ESET ξεκίνησε με ένα μήνυμα στο LinkedIn από τον ηθοποιό Lazarus που προσποιείται ότι είναι στρατολόγος από το Meta (Facebook) ονόματι Steve Dawson.

Σε μεταγενέστερα στάδια της συζήτησης, ζητήθηκε από το θύμα να αποδείξει την επάρκειά του στον προγραμματισμό C++ κατεβάζοντας μερικά κουίζ που κοινοποιήθηκαν ως εκτελέσιμα μέσα σε αρχεία ISO.

Μόλις εκκινήθηκαν αυτά τα εκτελέσιμα, ένα πρόσθετο ωφέλιμο φορτίο από τις εικόνες ISO έπεσε σιωπηλά στον υπολογιστή του θύματος μέσω πλευρικής φόρτωσης DLL (mscoree.dll) χρησιμοποιώντας ένα νόμιμο πρόγραμμα (PresentationHost.exe).

Αυτό το ωφέλιμο φορτίο είναι το πρόγραμμα φόρτωσης κακόβουλου λογισμικού NickelLoader, που εμφανίζεται να αναπτύσσει δύο κερκόπορτες, μια παραλλαγή του BlindingCan με μειωμένη λειτουργικότητα (miniBlindingCan) και του LightlessCan.

Οι εντολές που υποστηρίζονται από το miniBlindingCan είναι:

• Αποστολή στοιχείων συστήματος (όνομα υπολογιστή, έκδοση
  
  Windows
  
  , κωδικοσελίδα).
• Ενημέρωση διαστήματος επικοινωνίας (τιμή από διακομιστή C2).
• Διακοπή εκτέλεσης εντολής.
• Αποστολή διαμόρφωσης 9.392 byte στον διακομιστή C2.
• Ενημέρωση κρυπτογραφημένης διαμόρφωσης 9.392 byte στο σύστημα αρχείων.
• Περιμένετε την επόμενη εντολή.
• Ενημέρωση διαστήματος επικοινωνίας (από τη διαμόρφωση).
• Λήψη και αποκρυπτογράφηση αρχείων από τον διακομιστή C2.
• Εκτελέστε τον παρεχόμενο shellcode.

Η κερκόπορτα LightlessCan

Η ESET λέει ότι το LightlessCan είναι διάδοχος του BlindingCan, με βάση τον πηγαίο κώδικα και τις ομοιότητες παραγγελίας εντολών, με πιο εξελιγμένη δομή κώδικα, διαφορετική ευρετηρίαση και βελτιωμένη λειτουργικότητα.

Η έκδοση που χρησιμοποιήθηκε ως δείγμα από την επίθεση στον ισπανικό αεροδιαστημικό οργανισμό είναι η 1.0, με υποστήριξη για 43 εντολές. Ωστόσο, η ESET λέει ότι υπάρχουν άλλες 25 εντολές στον κώδικα που δεν έχουν εφαρμοστεί ακόμα.

Το

κακόβουλο λογισμικό

αναπαράγει πολλές εγγενείς εντολές των Windows όπως ping, ipconfig, netstant, mkdir, schstasks, systeminfo κ.λπ., ώστε να μπορεί να τις εκτελέσει χωρίς να εμφανίζεται στην κονσόλα συστήματος για καλύτερη μυστικότητα έναντι εργαλείων παρακολούθησης σε πραγματικό χρόνο.

Δεδομένου ότι αυτές οι εντολές είναι κλειστού κώδικα, η ESET σχολιάζει ότι ο Lazarus είτε κατάφερε να αναστρέψει τον κώδικα είτε άντλησε έμπνευση από τις εκδόσεις ανοιχτού κώδικα.

Μια άλλη ενδιαφέρουσα πτυχή που αναφέρθηκε από την ESET είναι ότι ένα από τα ωφέλιμα φορτία LightlessCan που δειγμάτισαν ήταν κρυπτογραφημένο και μπορούσε να αποκρυπτογραφηθεί μόνο χρησιμοποιώντας ένα κλειδί που εξαρτάται από το περιβάλλον του στόχου.

Αυτό είναι ένα ενεργό μέτρο προστασίας για την αποτροπή εξωτερικής πρόσβασης στον υπολογιστή του θύματος, για παράδειγμα, από ερευνητές ή αναλυτές ασφαλείας.

Αυτή η ανακάλυψη υπογραμμίζει ότι το Operation Dreamjob του Lazarus δεν καθοδηγείται αποκλειστικά από οικονομικούς στόχους, όπως η κλοπή κρυπτονομισμάτων, αλλά περιλαμβάνει και στόχους κατασκοπείας.

Επίσης, η εισ

αγωγή

ενός νέου εξελιγμένου ωφέλιμου φορτίου, του LightlessCan, είναι μια ανησυχητική εξέλιξη για οργανισμούς που ενδέχεται να βρεθούν στο στόχαστρο της βορειοκορεατικής ομάδας απειλής.