LightlessCan-Malware

Cyberkriminelle haben einen Spionageangriff gegen ein unbekanntes Luft- und Raumfahrtunternehmen in Spanien durchgeführt. Bei diesem Vorfall gaben sich die Bedrohungsakteure die Gestalt eines mit Meta (ehemals Facebook) verbundenen Personalvermittlers an, um die Mitarbeiter des Unternehmens ins Visier zu nehmen. Diese Mitarbeiter wurden vom betrügerischen Personalvermittler über LinkedIn kontaktiert und anschließend dazu verleitet, eine bedrohliche ausführbare Datei herunterzuladen und zu öffnen. Die betrügerische Datei wurde als Codierungsherausforderung oder Quiz präsentiert. Die kompromittierten Systeme wurden anschließend mit einer bisher unbekannten Backdoor-Bedrohung namens LightlessCan infiziert.

Dieser Cyberangriff ist Teil einer etablierten Spear-Phishing-Kampagne namens „Operation Dream Job“. Es wird von der Lazarus Group orchestriert, einem mit Nordkorea verbundenen APT-Akteur (Advanced Persistent Threat). Das Hauptziel der Operation Dream Job besteht darin, Mitarbeiter anzulocken, die in Organisationen von strategischem Interesse arbeiten. Die Angreifer nutzen das Versprechen attraktiver Arbeitsmöglichkeiten als Köder, um die Infektionskette in Gang zu setzen, mit dem ultimativen Ziel, die Systeme und Daten ihrer Ziele zu kompromittieren.

Eine mehrstufige Angriffskette liefert die LightlessCan-Malware

Die Angriffskette beginnt, wenn der Zielperson über LinkedIn eine Nachricht von einem betrügerischen Personalvermittler gesendet wird, der vorgibt, Meta Platforms zu vertreten. Dieser falsche Personalvermittler sendet dann scheinbar als Teil des Rekrutierungsprozesses zwei Codierungsherausforderungen. Sie überzeugten das Opfer erfolgreich davon, diese Testdateien auszuführen, die auf einer Cloud-Speicherplattform eines Drittanbieters gehostet werden und die Namen Quiz1.iso und Quiz2.iso tragen.

Wie Cybersicherheitsexperten festgestellt haben, enthalten diese ISO-Dateien schädliche Binärdateien namens Quiz1.exe und Quiz2.exe. Von den Opfern wird erwartet, dass sie die Dateien herunterladen und auf einem vom Zielunternehmen bereitgestellten Gerät ausführen. Andernfalls wird das System kompromittiert, was zu einem Verstoß gegen das Unternehmensnetzwerk führt.

Dieser Verstoß öffnet die Tür für den Einsatz eines HTTP(S)-Downloaders namens NickelLoader. Mit diesem Tool erhalten die Angreifer die Möglichkeit, jedes gewünschte Programm direkt in den Speicher des Computers des Opfers einzuschleusen. Zu den eingesetzten Programmen gehörten der Fernzugriffstrojaner LightlessCan und eine Variante von BLINDINGCAN , bekannt als miniBlindingCan (auch als AIRDRY.V2 bezeichnet). Diese bedrohlichen Tools könnten den Angreifern Fernzugriff und Kontrolle über das kompromittierte System gewähren.

LightlessCan stellt eine Weiterentwicklung des mächtigen Arsenals von Lazarus dar

Der besorgniserregendste Aspekt des Angriffs dreht sich um die Einführung einer neuartigen Nutzlast namens LightlessCan. Dieses hochentwickelte Tool weist im Vergleich zu seinem Vorgänger BLINDINGCAN (auch bekannt als AIDRY oder ZetaNile) eine deutliche Weiterentwicklung seiner schädlichen Fähigkeiten auf. BLINDINGCAN war bereits eine funktionsreiche Malware, die in der Lage war, vertrauliche Informationen von kompromittierten Hosts zu extrahieren.

LightlessCan unterstützt bis zu 68 verschiedene Befehle, obwohl die aktuelle Version nur 43 dieser Befehle mit zumindest einiger Funktionalität enthält. MiniBlindingCan übernimmt in erster Linie Aufgaben wie die Übertragung von Systeminformationen und das Herunterladen von Dateien, die von einem Remote-Server abgerufen wurden.

Ein bemerkenswertes Merkmal dieser Kampagne ist die Implementierung von Leitplanken für die Ausführung. Diese Maßnahmen verhindern, dass die Nutzlasten auf einem anderen Computer als dem des beabsichtigten Opfers entschlüsselt und ausgeführt werden.

LightlessCan ist so konzipiert, dass es die Funktionen zahlreicher nativer Windows-Befehle emuliert. Dies ermöglicht es dem RAT, eine diskrete Ausführung in sich selbst durchzuführen, sodass keine lauten Konsolenvorgänge erforderlich sind. Dieser strategische Wandel erhöht die Tarnung und macht es schwieriger, die Aktivitäten des Angreifers zu erkennen und zu analysieren.