Aanvallers vermommen zich als Meta en vallen lucht- en ruimtevaartbedrijf aan

Werknemers van het beoogde bedrijf zijn benaderd door een valse recruiter via LinkedIn, waarbij zij zich voordeden als een recruiter van Facebook-, Instagram- en WhatsApp-moederbedrijf Meta. Zo werden zij misleid om een kwaadaardig uitvoerbaar bestand te openen dat zich voordeed als een coderingsuitdaging of quiz.

"Het meest verontrustende aspect van de aanval is het nieuwe type payload, LightlessCan, een complexe en mogelijk evoluerende toepassing die een hoog niveau van verfijning vertoont in zijn ontwerp en werking, en een aanzienlijke vooruitgang betekent in kwaadaardige capaciteiten in vergelijking met zijn voorganger, BlindingCan," legt ESET-onderzoeker Peter Kálnai uit, die de ontdekking deed.

Coderingsuitdagingen

De valse recruiter nam contact op met het slachtoffer via LinkedIn Messaging, een functie binnen het professionele sociale netwerkplatform LinkedIn, en stuurde twee coderingsuitdagingen die zogenaamd nodig waren als onderdeel van een aannameproces, die het slachtoffer downloadde en uitvoerde op een apparaat van het bedrijf. ESET Research was in staat om de initiële toegangsstappen te reconstrueren en de door Lazarus gebruikte toolset te analyseren dankzij de samenwerking met het getroffen luchtvaartbedrijf. De groep richtte zich op meerdere werknemers van het bedrijf.

Lazarus leverde verschillende payloads aan de systemen van de slachtoffers; de meest opvallende is een voorheen publiekelijk ongedocumenteerde en geavanceerde remote access trojan (RAT) die we LightlessCan hebben genoemd. De trojan bootst de functionaliteiten van een groot aantal native Windows-commando's, die gewoonlijk door aanvallers worden misbruikt waardoor discrete uitvoering binnen de RAT zelf mogelijk is in plaats van luidruchtige console-uitvoer. Deze strategische verschuiving verbetert de verborgenheid, waardoor het moeilijker wordt om de activiteiten van de aanvaller te detecteren en analyseren.

Payload decoderen op systeem van slachtoffer

Een ander mechanisme dat wordt gebruikt om blootstelling te minimaliseren, is het gebruik van afschermingen voor de uitvoering: Lazarus zorgde ervoor dat de payload alleen kon worden gedecodeerd op de machine van het beoogde slachtoffer. Execution guardrails zijn een verzameling beschermende protocollen en mechanismen die zijn geïmplementeerd om de betrouwbaarheid van de payload te waarborgen tijdens de implementatie en uitvoering, waardoor ontcijfering op onbedoelde machines, zoals die van beveiligingsonderzoekers, effectief wordt voorkomen.

LightlessCan ondersteunt tot 68 verschillende commando's, maar in de huidige versie 1.0 zijn slechts 43 van deze commando's met enige functionaliteit geïmplementeerd. ESET Research heeft vier verschillende uitvoeringsketens geïdentificeerd, die drie soorten payloads leveren.

Geen ongebruikelijk doelwit

De Lazarus-groep (ook bekend als HIDDEN COBRA) is een cyberspionagegroep die banden heeft met Noord-Korea en actief is sinds 2009. De diversiteit, het aantal en de excentriciteit in de uitvoering van Lazarus-campagnes zijn kenmerkend voor deze groep, die alle drie de pijlers van cybercriminele activiteiten uitvoert: cyberspionage, cybersabotage en het nastreven van financieel voordeel. Lucht- en ruimtevaartbedrijven zijn geen ongewoon doelwit voor Noord-Koreaanse APT-groepen. Het land heeft meerdere geavanceerde rakettesten uitgevoerd die in strijd zijn met de resoluties van de Veiligheidsraad van de Verenigde Naties.

Meer technische informatie over Lazarus, de nieuwste aanval en de LightlessCan backdoor is beschikbaar in de blogpost "Lazarus lokt werknemers met codeeruitdagingen met trojans: The case of a Spanish aerospace company" op WeLiveSecurity. ESET Research presenteert de bevindingen over deze aanval op de Virus Bulletin conferentie op 4 oktober 2023.