Северокорейский хакерский коллектив Lazarus Group использует новый тип «сложного» вредоносного ПО в рамках своих фиктивных афер с трудоустройством. Исследователи предупреждают, что обнаружить его гораздо сложнее, чем его предшественника.
Согласно сообщению от 29 сентября старшего исследователя вредоносного ПО ESET Питера Калнаи, анализируя недавнюю ложную атаку на испанскую аэрокосмическую фирму, исследователи ESET обнаружили публично недокументированный бэкдор под названием LightlessCan.
#ESET researchers unveiled their findings about an attack by the North Korea-linked #APT group #Lazarus that took aim at an aerospace company in Spain.
▶️ Find out more in a #WeekinSecurity video with @TonyAtESET. pic.twitter.com/M94J200VQx
— ESET (@ESET) September 29, 2023
Мошенничество с поддельной работой Lazarus Group обычно включает в себя обман жертв с потенциальным предложением работы в известной фирме. Злоумышленники побуждали жертв загрузить вредоносную полезную нагрузку, замаскированную под документы, чтобы нанести всевозможный ущерб.
Тем не менее, Калнаи говорит, что новая полезная нагрузка LightlessCan является «значительным достижением» по сравнению с ее предшественником BlindingCan.
«LightlessCan имитирует функциональность широкого спектра собственных команд Windows, обеспечивая незаметное выполнение внутри самой RAT вместо шумных консольных исполнений».
«Этот подход дает значительное преимущество с точки зрения скрытности как для обхода решений мониторинга в реальном времени, таких как EDR, так и для посмертных инструментов цифровой криминалистики», — сказал он.
️♂️ Beware of fake LinkedIn recruiters! Find out how Lazarus group exploited a Spanish aerospace company via trojanized coding challenge. Dive into the details of their cyberespionage campaign in our latest #WeLiveSecurity article. #ESET #ProgressProtected
— ESET (@ESET) September 29, 2023
В новой полезной нагрузке также используется то, что исследователь называет «ограничителями выполнения» — гарантируя, что полезная нагрузка может быть расшифрована только на компьютере предполагаемой жертвы, что позволяет избежать непреднамеренного расшифрования исследователями безопасности.
Калнаи рассказал, что один случай, связанный с новым вредоносным ПО, произошел в результате атаки на испанскую аэрокосмическую фирму, когда ее сотрудник получил сообщение от фальшивого рекрутера Meta по имени Стив Доусон в 2022 году.
Вскоре после этого хакеры прислали две простые задачи по кодированию, встроенные в вредоносное ПО.
Кибершпионаж был основной мотивацией атаки Lazarus Group на испанскую аэрокосмическую фирму, добавил он.
Связанный: 3 шага, которые инвесторы в криптовалюту могут предпринять, чтобы избежать хакерских атак со стороны Lazarus Group
Согласно отчету криминалистической компании Chainaанализ, занимающейся блокчейном, с 2016 года северокорейские хакеры украли около 3,5 миллиардов долларов из криптовалютных проектов.
В сентябре 2022 года фирма по кибербезопасности SentinelOne предупредила о фальшивом мошенничестве с вакансиями в LinkedIn, предложив потенциальным жертвам работу на Crypto.com в рамках кампании, получившей название «Операция «Работа мечты».
Тем временем Организация Объединенных Наций пытается ограничить тактику киберпреступности Северной Кореи на международном уровне — насколько известно, Северная Корея использует украденные средства для поддержки своей ракетно-ядерной программы.
