Криптовалютные компании будьте осторожны: новое вредоносное ПО Lazarus теперь может обходить обнаружение

Северокорейский хакерский коллектив Lazarus Group использует новый тип «сложного» вредоносного ПО в рамках своих фиктивных афер с трудоустройством. Исследователи предупреждают, что обнаружить его гораздо сложнее, чем его предшественника.

Согласно сообщению от 29 сентября старшего исследователя вредоносного ПО ESET Питера Калнаи, анализируя недавнюю ложную атаку на испанскую аэрокосмическую фирму, исследователи ESET обнаружили публично недокументированный бэкдор под названием LightlessCan.

https://twitter.com/ESET/status/1707751628340695202?ref_src=twsrc%5Etfw

Мошенничество с поддельной работой Lazarus Group обычно включает в себя обман жертв с потенциальным предложением работы в известной фирме. Злоумышленники побуждали жертв загрузить вредоносную полезную нагрузку, замаскированную под документы, чтобы нанести всевозможный ущерб.

Тем не менее, Калнаи говорит, что новая полезная нагрузка LightlessCan является «значительным достижением» по сравнению с ее предшественником BlindingCan.

«LightlessCan имитирует функциональность широкого спектра собственных команд Windows, обеспечивая незаметное выполнение внутри самой RAT вместо шумных консольных исполнений».

«Этот подход дает значительное преимущество с точки зрения скрытности как для обхода решений мониторинга в реальном времени, таких как EDR, так и для посмертных инструментов цифровой криминалистики», — сказал он.

https://twitter.com/ESET/status/1707707211714064653?ref_src=twsrc%5Etfw

В новой полезной нагрузке также используется то, что исследователь называет «ограничителями выполнения» — гарантируя, что полезная нагрузка может быть расшифрована только на компьютере предполагаемой жертвы, что позволяет избежать непреднамеренного расшифрования исследователями безопасности.

Калнаи рассказал, что один случай, связанный с новым вредоносным ПО, произошел в результате атаки на испанскую аэрокосмическую фирму, когда ее сотрудник получил сообщение от фальшивого рекрутера Meta по имени Стив Доусон в 2022 году.

Вскоре после этого хакеры прислали две простые задачи по кодированию, встроенные в вредоносное ПО.

Кибершпионаж был основной мотивацией атаки Lazarus Group на испанскую аэрокосмическую фирму, добавил он.

Связанный: 3 шага, которые инвесторы в криптовалюту могут предпринять, чтобы избежать хакерских атак со стороны Lazarus Group

Согласно отчету криминалистической компании Chainaанализ, занимающейся блокчейном, с 2016 года северокорейские хакеры украли около 3,5 миллиардов долларов из криптовалютных проектов.

В сентябре 2022 года фирма по кибербезопасности SentinelOne предупредила о фальшивом мошенничестве с вакансиями в LinkedIn, предложив потенциальным жертвам работу на Crypto.com в рамках кампании, получившей название «Операция «Работа мечты».

Тем временем Организация Объединенных Наций пытается ограничить тактику киберпреступности Северной Кореи на международном уровне — насколько известно, Северная Корея использует украденные средства для поддержки своей ракетно-ядерной программы.