Firmy kryptograficzne strzeżcie się: nowe złośliwe oprogramowanie Lazarus może teraz ominąć wykrywanie
Lazarus Group, północnokoreański kolektyw hakerski, wykorzystuje nowy rodzaj złośliwego oprogramowania w ramach fałszywych oszustw związanych z zatrudnieniem. Szkodnik ten, nazwany LightlessCan, jest znacznie trudniejszy do wykrycia niż jego poprzednik, BlindingCan.
LightlessCan naśladuje funkcjonalność szerokiej gamy natywnych poleceń systemu Windows, umożliwiając dyskretne wykonywanie w samym RAT zamiast hałaśliwych wykonywania poleceń konsoli. Podejście to oferuje znaczną przewagę pod względem ukrycia, zarówno w zakresie unikania rozwiązań monitorujących w czasie rzeczywistym, takich jak EDR, jak i cyfrowych narzędzi kryminalistycznych pośmiertnych.
Nowy ładunek wykorzystuje również to, co badacze nazywają „poręczami wykonawczymi”, zapewniając, że ładunek może zostać odszyfrowany wyłącznie na maszynie docelowej ofiary, co pozwala uniknąć niezamierzonego odszyfrowania przez badaczy bezpieczeństwa.
W jednym przypadku Grupa Lazarus użyła LightlessCan do ataku na hiszpańską firmę z branży lotniczej. Hakerzy wysłali pracownikowi fałszywą ofertę pracy, a gdy ten kliknął łącze w wiadomości e-mail, jego komputer został zainfekowany szkodliwym oprogramowaniem.
Motywem ataku Grupy Lazarus na firmę z branży lotniczej było cyberszpiegostwo. Hakerzy prawdopodobnie próbowali ukraść poufne dane z firmy.