O grupo de hackers da Coreia do Norte, 'Lazarus', visou funcionários de uma empresa aeroespacial localizada na Espanha com falsas oportunidades de emprego para invadir a rede corporativa usando um backdoor, 'LightlessCan', até então desconhecido.
Os hackers utilizaram sua contínua campanha "Operation Dreamjob", que envolve aproximar-se de um alvo no LinkedIn e participar de um falso processo de recrutamento de funcionários que, em algum momento, exigiu que a vítima baixasse um arquivo.
O funcionário fez isso em um computador da empresa, permitindo que os hackers norte-coreanos invadissem a rede corporativa para conduzir espionagem cibernética.
A ESET investigou o incidente e conseguiu reconstruir o acesso inicial e recuperar componentes do conjunto de ferramentas do Lazarus, incluindo um backdoor até então não documentado, ao qual eles deram o nome 'LightlessCan.'
O ataque da Operation Dreamjob reconstruído pela ESET começou com uma mensagem no LinkedIn do ator Lazarus se passando por um recrutador da Meta (Facebook) chamado Steve Dawson.
Em estágios posteriores da discussão, foi solicitado à vítima que provasse sua proficiência em programação C++ fazendo o download de alguns questionários que foram compartilhados como executáveis dentro de arquivos ISO.
Uma vez que esses executáveis foram lançados, um payload das imagens ISO foi silenciosamente instalada na máquina da vítima via DLL side-loading (mscoree.dll) usando um programa legítimo (PresentationHost.exe).
Esse payload é o carregador de malware NickelLoader, visto implantando dois backdoors, uma variante do BlindingCan com funcionalidade reduzida (miniBlindingCan) e LightlessCan.
Os comandos suportados pelo miniBlindingCan são:
Enviar detalhes do sistema (nome do computador, versão do Windows, página de código).
Atualizar intervalo de comunicação (valor do servidor C2).
Interromper execução de comando.
Enviar configuração de 9.392 bytes ao servidor C2.
Atualizar configuração criptografada de 9.392 bytes no sistema de arquivos.
Aguardar o próximo comando.
Atualizar intervalo de comunicação (da configuração).
Baixar e decifrar arquivos do servidor C2.
Executar o shellcode fornecido.
A ESET diz que o LightlessCan é um sucessor do BlindingCan, baseado em similaridades de código-fonte e ordenação de comandos, apresentando uma estrutura de código mais sofisticada, indexação diferente e funcionalidade aprimorada.
A versão coletada do ataque à organização aeroespacial espanhola é 1.0, com suporte para 43 comandos.
No entanto, a ESET diz que existem outros 25 comandos no código que ainda não foram implementados.
O malware replica muitos comandos nativos do Windows, como ping, ipconfig, netstant, mkdir, schstasks, systeminfo, etc., para que possa executá-los sem aparecer no console do sistema para uma melhor furtividade contra ferramentas de monitoramento em tempo real.
Visto que esses comandos são de código fechado, a ESET comenta que Lazarus conseguiu reverter o código de engenharia ou se inspirou nas versões de código aberto.
Outro aspecto interessante relatado pela ESET é que um dos payloads do LightlessCan que eles analisaram estava criptografado e só podia ser descriptografado usando uma chave dependente do ambiente do alvo.
Esta é uma medida de proteção ativa para impedir o acesso de terceiros ao computador da vítima, por exemplo, por pesquisadores ou analistas de segurança.
Essa descoberta enfatiza que a Operação Dreamjob do Lazarus não é conduzida apenas por objetivos financeiros, como o roubo de criptomoedas, mas também engloba metas de espionagem.
Além disso, a introdução de um novo payload sofisticada, o LightlessCan, é um desenvolvimento preocupante para as organizações que podem se encontrar na mira do grupo de ameaças da Coreia do Norte.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...