Северокорейскую хак-группу Lazarus связали с кибершпионской атакой на неназванную аэрокосмическую компанию в Испании. Злоумышленники вышли на связь с сотрудником компании-жертвы, выдавая себя за рекрутера из Meta (признана экстремистской организацией, деятельность запрещена в РФ), и вынудили его установить новый бэкдор LightlessCan.
Как сообщили специалисты ESET, через LinkedIn с сотрудниками аэрокосмической компании связался фальшивый рекрутер и обманом вынудил их открыть вредоносные исполняемые файлы, которые были замаскированы под тестовые задачи по программированию (Quiz1.iso и Quiz2.iso).
Эти ISO-файлы, содержащие вредоносные файлы Quiz1.exe и Quiz2.exe, были загружены и выполнены сотрудником на корпоративном устройстве, что привело к компрометации системы и проникновению хакеров в корпоративную сеть.
В результате атаки в систему проник загрузчик NickelLoader, который позволял злоумышленникам внедрить в память компьютера жертвы любую программу, включая троян удаленного доступа LightlessCan и miniBlindingCan (вариант малвари BLINDINGCAN с урезанной функциональностью, он же AIRDRY.V2).
Эта атака стала еще одним эпизодом в давней шпионской кампании Dream Job, которую впервые еще в 2020 году описали специалисты компании ClearSky. В рамках таких атак хакеры связываются с сотрудниками компаний, которые представляют для преступников интерес, и делают им выгодные предложения о работе, на самом деле заражая вредоносным ПО.
Как уже было сказано выше, на этот раз конечной целью хакеров было внедрение малвари LightlessCan в системы жертв.
«Наиболее тревожным аспектом этой атаки является новый тип полезной нагрузки — LightlessCan. Это сложный инструмент, который, вероятно, еще находится в разработке и демонстрирует высокий уровень сложности. Его вредоносные возможности — это заметный прогресс по сравнению BLINDINGCAN, его предшественником», — пишут эксперты ESET.
Бэкдор BLINDINGCAN (он же AIRDRY и ZetaNile) был впервые обнаружен в 2020 году и детально описан аналитиками «Лаборатории Касперского» в 2021 году. Это многофункциональное вредоносное ПО, способное собирать конфиденциальную информацию с зараженных хостов.
Как сообщает ESET, обнаруженный теперь LightlessCan является преемником BLINDINGCAN, который отличается более сложной структурой кода и расширенными функциями. Он поддерживает до 68 различных команд, хотя в изученной версии работали только 43 из них.
Так как LightlessCan имитирует широкий спектр штатных команд Windows (ping, ipconfig, netstant, mkdir, schstasks, systeminfo и так далее), это позволяет ему добиться большей скрытности и уклоняться от обнаружения.
Что касается miniBlindingCan, его основной задачей является передача системной информации и загрузка файлов, полученных с удаленного сервера.
Еще одной примечательной особенностью этой кампании является использование средств защиты, не позволяющих расшифровать полезную нагрузку и запустить ее на любой другой машине, кроме машины предполагаемой жертвы.