Нагрузку вредоносного ПО «LightlessCan», от Lazarus, используемую при мошенничестве с поддельными вакансиями, гораздо сложнее обнаружить, чем его предшественника, предупреждают исследователи кибербезопасности из ESET.
Северокорейский хакерский коллектив Lazarus Group использует новый тип «сложного» вредоносного ПО в рамках своих фиктивных афер с трудоустройством, обнаружить которое, как предупреждают исследователи, гораздо сложнее, чем его предшественника.
Согласно сообщению от 29 сентября старшего исследователя вредоносного ПО ESET, Питера Калнаи, анализируя недавнюю фиктивную атаку на испанскую аэрокосмическую фирму, исследователи ESET обнаружили публично недокументированный бэкдор под названием LightlessCan.
Мошенничество с поддельной работой Lazarus Group обычно включает в себя обман жертв с потенциальным предложением работы в известной фирме. Злоумышленники побуждали жертв загрузить вредоносную программу, замаскированную под документы, чтобы нанести всевозможный ущерб.
Калнаи говорит, что новая полезная нагрузка LightlessCan является «значительным достижением» по сравнению с ее предшественником BlindingCan.
«LightlessCan имитирует функциональность широкого спектра собственных команд Windows, обеспечивая незаметное выполнение внутри самой RAT вместо шумных консольных исполнений», — сказал Калнаи.
«Этот подход дает значительное преимущество с точки зрения скрытности, как для обхода решений мониторинга в реальном времени, таких как EDR, так и для посмертных инструментов цифровой криминалистики», — добавил он.
В новой полезной нагрузке также используется то, что исследователь называет «защитой выполнения», гарантируя, что полезная нагрузка может быть расшифрована только на устройстве предполагаемой жертвы, тем самым избегая непреднамеренного расшифрования исследователями безопасности.
Калнаи сообщил, что один случай, связанный с новым вредоносным ПО, произошел в результате атаки на испанскую аэрокосмическую фирму, когда ее сотрудник получил сообщение от фальшивого рекрутера Meta (компания признана экстремистской организацией на территории РФ) по имени Стив Доусон в 2022 году.
Вскоре после этого хакеры прислали две простые задачи по кодированию, встроенные в вредоносное ПО.
Кибершпионаж был основной мотивацией атаки Lazarus Group на испанскую аэрокосмическую фирму, добавил он.
Согласно отчету криминалистической компании Chainalysis, занимающейся блокчейном, с 2016 года северокорейские хакеры украли около 3,5 миллиардов долларов из криптовалютных проектов.
В сентябре 2022 года фирма по кибербезопасности SentinelOne предупредила о фальшивом мошенничестве с трудоустройством в LinkedIn, предложив потенциальным жертвам работу на Crypto.com в рамках кампании, получившей название «Операция «Работа мечты».
Тем временем Организация Объединенных Наций пытается ограничить тактику киберпреступности Северной Кореи на международном уровне, поскольку известно, что Северная Корея использует украденные средства для поддержки своей ракетно-ядерной программы.
