LightlessCan マルウェア

サイバー犯罪者がスペインの非公開の航空宇宙会社に対してスパイ攻撃を実行しました。この事件では、攻撃者は Meta (旧 Facebook) に所属する採用担当者を装い、同社の従業員を標的にしました。これらの従業員は、詐欺的な採用担当者によって LinkedIn を通じて連絡を受け、その後騙されて、脅迫的な実行可能ファイルをダウンロードして開かされました。不正なファイルはコーディングの課題またはクイズとして提示されました。その後、侵害されたシステムは、LightlessCan として追跡される、これまで知られていなかったバックドアの脅威に感染しました。

このサイバー攻撃は、「オペレーション ドリーム ジョブ」として知られる、確立されたスピア フィッシング キャンペーンの一環です。これは、北朝鮮に関連する APT (Advanced Persistent Threat) 攻撃者であるLazarus Groupによって組織化されています。オペレーション ドリーム ジョブの主な目的は、戦略的に重要な組織内で働く従業員を誘惑することです。攻撃者は、魅力的な雇用機会の約束を餌として感染チェーンを開始し、最終的な目標はターゲットのシステムとデータを侵害します。

多段階の攻撃チェーンにより LightlessCan マルウェアが配信される

攻撃チェーンは、メタ プラットフォームを代表すると主張する詐欺的なリクルーターから LinkedIn 経由でメッセージが標的の個人に送信されると始まります。次に、この偽の採用担当者は、採用プロセスの一環として、2 つのコーディング課題を送信し始めます。彼らは、サードパーティのクラウド ストレージ プラットフォームでホストされ、Quiz1.iso および Quiz2.iso という名前のこれらのテスト ファイルを被害者に実行させることに成功しました。

サイバーセキュリティの専門家が特定したように、これらの ISO ファイルには Quiz1.exe および Quiz2.exe として知られる悪意のあるバイナリ ファイルが含まれています。被害者は、標的の企業が提供するデバイスにファイルをダウンロードして実行すると予想されます。そうするとシステムが危険にさらされ、企業ネットワークの侵害につながる可能性があります。

この侵害により、NickelLoader として知られる HTTP(S) ダウンローダーの展開への扉が開かれます。このツールを使用すると、攻撃者は任意のプログラムを被害者のコンピュータのメモリに直接挿入できるようになります。配備されたプログラムの中には、LightlessCan リモート アクセス トロイの木馬と、miniBlindingCan として知られるBLINDINGCANの亜種 (AIRDRY.V2 とも呼ばれます) が含まれていました。これらの脅威ツールは、攻撃者にリモート アクセスを許可し、侵害されたシステムを制御する可能性があります。

LightlessCan は Lazarus の強力な武器庫の進化を表しています

この攻撃で最も懸念される点は、LightlessCan という名前の新しいペイロードの導入を中心に展開しています。この洗練されたツールは、以前の BLINDINGCAN (AIDRY または ZetaNile としても知られる) と比較して、有害な機能において大幅な進歩を示しています。 BLINDINGCAN はすでに、侵害されたホストから機密情報を抽出できる機能が豊富なマルウェアでした。

LightlessCan には最大 68 個の個別コマンドのサポートが装備されていますが、現在のバージョンにはこれらのコマンドのうち少なくとも一部の機能が組み込まれているのは 43 個のみです。 miniBlindingCan に関しては、主にシステム情報の送信やリモート サーバーから取得したファイルのダウンロードなどのタスクを処理します。

このキャンペーンの注目すべき特徴は、実行ガードレールの実装です。これらの対策により、ペイロードが復号化され、意図した被害者のマシン以外のマシンで実行されることが防止されます。

LightlessCan は、多数のネイティブ Windows コマンドの機能をエミュレートする方法で動作するように設計されています。これにより、RAT は内部で慎重に実行できるようになり、騒々しいコンソール操作の必要性が回避されます。この戦略的変更によりステルス性が強化され、攻撃者の活動の検出と分析がより困難になります。