Η ομάδα hacking Lazarus από τη Βόρεια Κορέα στόχευσε υπαλλήλους μιας αεροδιαστημικής εταιρείας που βρίσκεται στην Ισπανία με fake job opportunities για να χακάρει το εταιρικό δίκτυο χρησιμοποιώντας ένα προηγουμένως άγνωστο backdoor, γνωστό ως ‘LightlessCan’.
Οι χάκερ χρησιμοποίησαν την εκστρατεία τους με το όνομα “Operation Dreamjob”, η οποία περιλάμβανε την προσέγγιση ενός στόχου μέσω του LinkedIn και τη συμμετοχή σε μια ψεύτικη διαδικασία πρόσληψης υπαλλήλου που, σε κάποιο σημείο, απαιτούσε από το θύμα να κατεβάσει ένα αρχείο.
Ο υπάλληλος επιτέλεσε αυτήν την ενέργεια σε έναν υπολογιστή της εταιρείας, επιτρέποντας στους χάκερ της Βόρειας Κορέας να παραβιάσουν τον εταιρικό δίκτυο για να πραγματοποιήσουν κυβερνοκατασκοπία.
Η ESET διερεύνησε το περιστατικό και μπόρεσε να ανακατασκευάσει την αρχική πρόσβαση και να εντοπίσει components του toolset της ομάδας Lazarus, συμπεριλαμβανομένου ενός undocumented backdoor, το οποίο ονόμασαν ‘LightlessCan’.
Δείτε επίσης: Χάκερ κλέβουν δεδομένα μέσω επίθεσης κλοπής εικονοστοιχείων GPU
Αλυσίδα επίθεσης Lazarus
Η επίθεση Operation Dreamjob, που ανακατασκευάστηκε από την ESET, ξεκίνησε με ένα μήνυμα στο LinkedIn από την Lazarus που προσποιείτο να είναι ένας σύμβουλος πρόσληψης από την Meta (Facebook) με το όνομα Steve Dawson.
Σε πιο προηγμένα στάδια της συζήτησης, ζητήθηκε από το θύμα να αποδείξει την επάρκεια του στην προγραμματιστική γλώσσα C++ με το να κατεβάσει μερικά κουίζ που διαμοιράζονταν ως εκτελέσιμα αρχεία μέσα σε αρχεία ISO.
Μετά την εκκίνηση αυτών των εκτελέσιμων αρχείων, ένα επιπλέον payload από τις εικόνες ISO αθόρυβα αφίχθη στη μηχανή του θύματος μέσω DLL side-loading (mscoree.dll) χρησιμοποιώντας ένα νόμιμο πρόγραμμα (PresentationHost.exe).
Το payload αυτό είναι το NickelLoader, ένας κακόβουλος malware loader, που είδαμε να εγκαθιστά δύο backdoors, μια παραλλαγή του BlindingCan με μειωμένη λειτουργικότητα (miniBlindingCan) και το LightlessCan.
Οι εντολές που υποστηρίζονται από το miniBlindingCan είναι οι εξής:
- Αποστολή στοιχείων συστήματος (όνομα υπολογιστή, έκδοση Windows, κωδικοσελίδα).
- Ενημέρωση διαστήματος επικοινωνίας (τιμή από διακομιστή C2).
- Διακοπή εκτέλεσης εντολής.
- Send 9,392-byte configuration to C2 server.
- Ενημέρωση της κρυπτογραφημένης διαμόρφωσης 9.392 bytes στο σύστημα αρχείων.
- Περίμενετε την επόμενη εντολή.
- Ενημέρωση διαστήματος επικοινωνίας (από τη διαμόρφωση).
- Λήψη και αποκρυπτογράφηση αρχείων από τον C2 διακομιστή.
- Εκτελέστε το παρεχόμενο shellcode.
Δείτε επίσης: KNP Logistics Group: Έκλεισε μετά από παραβίαση Ransomware
Το LightlessCan backdoor
Η ESET αναφέρει ότι το LightlessCan είναι ο διάδοχος του BlindingCan, βασισμένος στον πηγαίο κώδικα και την ομάδα εντολών, παρουσιάζοντας μια πιο εξελιγμένη δομή κώδικα, διαφορετική ευρετηρίαση και βελτιωμένη λειτουργικότητα.
Η έκδοση που ανιχνεύτηκε από την επίθεση στον ισπανικό αεροδιαστημικό οργανισμό είναι η 1.0 και περιλαμβάνει υποστήριξη για 43 εντολές. Ωστόσο, η ESET αναφέρει ότι υπάρχουν άλλες 25 εντολές στον κώδικα που δεν έχουν εφαρμοστεί ακόμα.
Το malware αναπαράγει πολλές εντολές των Windows όπως το ping, ipconfig, netstant, mkdir, schstasks, systeminfo, κ.λπ., έτσι ώστε να μπορεί να τις εκτελέσει χωρίς να εμφανίζεται στη συνθήκη του συστήματος για μεγαλύτερη αόρατη λειτουργία έναντι των εργαλείων πραγματικού χρόνου παρακολούθησης.
Εφόσον αυτές οι εντολές είναι κλειστού πηγαίου κώδικα, η ESET σχολιάζει ότι η ομάδα Lazarus είτε κατάφερε να αναστρέψει τον κώδικα είτε αντλεί έμπνευση από τις εκδόσεις open-source.
Ένα άλλο ενδιαφέρον στοιχείο που αναφέρεται από την ESET είναι ότι ένα από τα δείγματα των φορτίων LightlessCan ήταν κρυπτογραφημένο και μπορούσε να αποκρυπτογραφηθεί μόνο χρησιμοποιώντας ένα κλειδί που εξαρτάται από το περιβάλλον του στόχου.
Αυτό είναι ένα ενεργό μέτρο προστασίας για να αποτραπεί η εξωτερική πρόσβαση στον υπολογιστή του θύματος, για παράδειγμα από ασφαλιστικούς ερευνητές ή αναλυτές.
Αυτή η ανακάλυψη υπογραμμίζει ότι η λειτουργία Dreamjob της ομάδας Lazarus δεν είναι αποκλειστικά κίνητρο από οικονομικής άποψης, όπως η κλοπή κρυπτονομίσματος, αλλά περιλαμβάνει επίσης στόχους κατασκοπείας.
Επιπλέον, η εισαγωγή ενός νέου εξελιγμένου φορτίου, του LightlessCan, αποτελεί ανησυχητική εξέλιξη για οργανισμούς που μπορεί να βρεθούν στο στόχαστρο της ομάδας από τη Βόρεια Κορέα.
Πηγή πληροφοριών: bleepingcomputer.com
