Οι hackers Lazarus, που συνδέονται με την κυβέρνηση της Βόρειας Κορέας, είναι υπεύθυνοι για επίθεση κατά μιας ισπανικής αεροδιαστημικής εταιρείας, χρησιμοποιώντας ένα νέο και επικίνδυνο malware με το όνομα LightlessCan.
Η ESET υποστηρίζει ότι αυτή η επίθεση θυμίζει προηγούμενες επιθέσεις της ομάδας Lazarus.
Όπως και σε άλλες εκστρατείες, οι Lazarus hackers χρησιμοποίησαν το LinkedIn για να επικοινωνήσουν με υπαλλήλους της ισπανικής εταιρείας, που δεν έχει κατονομαστεί. Οι hackers παρίσταναν recruiters από τη Meta και πρότειναν στα θύματα τη λήψη δύο αρχείων. Αυτά τα αρχεία περιείχαν κακόβουλο κώδικα που επέτρεπε την εγκατάσταση κακόβουλου λογισμικού.
Δείτε επίσης: Sony: Παραβίαση δεδομένων επηρεάζει χιλιάδες υπαλλήλους
Η ESET δηλώνει ότι ο στόχος της επίθεσης ήταν η κατασκοπεία. “Η κλοπή της τεχνογνωσίας μιας αεροδιαστημικής εταιρείας είναι συνεπής με τους μακροπρόθεσμους στόχους των Lazarus hackers“, έγραψε ο Peter Kálnai, ανώτερος ερευνητής κακόβουλου λογισμικού της ESET.
Η ομάδα Lazarus έχει επιτεθεί σε πολλές εταιρείες υψηλού προφίλ, συμπεριλαμβανομένων οργανισμών στον τομέα της αεροδιαστημικής, της χημικής βιομηχανίας και άλλων κρίσιμων βιομηχανιών. Οι hackers έχουν, επίσης, πραγματοποιήσει αρκετές κλοπές crypto.
Lazarus hackers: Νέο malware
Σε προηγούμενες επιθέσεις, η ομάδα Lazarus χρησιμοποίησε ένα trojan απομακρυσμένης πρόσβασης γνωστό ως BlindingCan. Σύμφωνα με την ESET, όμως, η επίθεση στην ισπανική αεροδιαστημική εταιρεία χρησιμοποίησε ένα αναβαθμισμένο malware tool με το όνομα “LightlessCan”, που υποστηρίζει 68 κακόβουλες εντολές, αν και προς το παρόν, φαίνεται να λειτουργούν οι 43.
Δείτε επίσης: Gmail: Ενισχύει τις άμυνες έναντι phishing και malware από το 2024
Οι αναλυτές της ESET πιστεύουν ότι το LightlessCan βασίζεται στον source code του BlindingCan, αν και μπορεί να υπάρχουν ορισμένες μικρές διαφοροποιήσεις.
Το LightlessCan malware των Lazarus hackers μπορεί να μιμείται εντολές των Windows, όπως ping, ipconfig, systeminfo, sc, net και άλλα παρόμοια με ένα hardcoded string “The operation completed successfully“, για να προκαλέσει σύγχυση και να μη γίνει αντιληπτή η πραγματική δραστηριότητα του RAT.
Επιπλέον, η εταιρεία ασφαλείας παρατήρησε ότι οι εντολές εκτελέστηκαν απόρρητα μέσα στο ίδιο το RAT αντί να εκτελούνται στην κονσόλα του συστήματος. Αυτό προσφέρει μια σημαντική πλεονεκτική θέση, επιτρέποντας την αποφυγή λύσεων παρακολούθησης σε πραγματικό χρόνο.
Σύμφωνα με τους ερευνητές της ESET, ενώ το LightlessCan malware παρατηρήθηκε πρώτα στην επίθεση στην ισπανική αεροδιαστημική εταιρεία, δεν είναι η μόνη φορά που το εντόπισαν οι ερευνητές. Η εταιρεία πιστεύει ότι το LightlessCan είναι πιθανό να γίνει το βασικό εργαλείο των Lazarus hackers.
Δείτε επίσης: Gay furries: Υποστηρίζουν ότι παραβίασαν το NATO και έκλεψαν 3.000 αρχεία
Οι Lazarus hackers έχουν γίνει γνωστοί για την εκπληκτική τους ικανότητα να προσαρμόζονται και να εξελίσσονται. Ως μια από τις πιο ενεργές ομάδες κυβερνοεγκληματιών, οι Lazarus επικεντρώνονται στην κατασκοπεία και την κλοπή πληροφοριών. Η εκτεταμένη γνώση τους σχετικά με τα συστήματα ασφαλείας τους επιτρέπει να διαπερνούν τα πιο σύνθετα δίκτυα και να αποκτούν πρόσβαση σε ευαίσθητα δεδομένα. Με το νέο malware, η Lazarus Group δείχνει ότι είναι σε θέση να εξαπολύει ακόμη πιο εκτεταμένες επιθέσεις κατά εταιρειών και οργανισμών σε ολόκληρο τον κόσμο.
Πηγή: www.theregister.com
