Los vínculos con Corea del Norte Grupo Lázaro se ha relacionado con un ataque de ciberespionaje dirigido a una empresa aeroespacial no identificada en España en el que el actor de amenazas se acercó a los empleados de la empresa haciéndose pasar por un reclutador de Meta.
«Un reclutador falso se puso en contacto con los empleados de la empresa objetivo a través de LinkedIn y los engañó para que abrieran un archivo ejecutable malicioso que se presentaba como un desafío o cuestionario de codificación», dijo el investigador de seguridad de ESET, Peter Kálnai. dicho en un informe técnico compartido con The Hacker News.
El ataque es parte de una campaña de phishing de larga data llamada Operación Dream Job que está orquestada por el equipo de hackers en un intento de atraer a los empleados que trabajan en posibles objetivos que son de interés estratégico, atrayendolos con lucrativas oportunidades laborales para activar la cadena de infección. .
A principios de marzo, la empresa eslovaca de ciberseguridad detalló una ola de ataques dirigida a usuarios de Linux que implicaba el uso de ofertas de trabajo falsas de HSBC para lanzar una puerta trasera llamada SimplexTea.
El objetivo final de la última intrusión, diseñada para sistemas Windows, es la implementación de un implante cuyo nombre en código es LightlessCan.
«El aspecto más preocupante del ataque es el nuevo tipo de carga útil, LightlessCan, una herramienta compleja y posiblemente en evolución que exhibe un alto nivel de sofisticación en su diseño y operación, y representa un avance significativo en capacidades maliciosas en comparación con su predecesor, BLINDINGCAN. «, dijo Kálnai.
BLINDINGCAN, también conocido con el nombre AIRDRY o ZetaNile, es un malware rico en funciones capaz de recopilar información confidencial de hosts infiltrados.
Todo comenzó cuando el objetivo recibió un mensaje en LinkedIn de un reclutador falso que trabajaba para Meta Platforms, quien luego envió dos desafíos de codificación como parte del supuesto proceso de contratación y convenció a la víctima para que ejecutara los archivos de prueba (llamados Quiz1.iso y Quiz2). iso) alojado en una plataforma de almacenamiento en la nube de terceros.
ESET dijo que los archivos ISO, que contenían archivos binarios maliciosos Quiz1.exe y Quiz2.exe, fueron descargados y ejecutados en un dispositivo proporcionado por la empresa, lo que efectivamente resultó en el autocompromiso del sistema y la violación de la red corporativa.
Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de próxima generación
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
El ataque allana el camino para un descargador HTTP(S) denominado NickelLoader, que permite a los atacantes implementar cualquier programa deseado en la memoria del ordenador de la víctima, incluido el troyano de acceso remoto LightlessCan y una variante de BLINDINGCAN denominada miniBlindingCan ( también conocido como AIRDRY.V2).
LightlessCan viene equipado con soporte para hasta 68 comandos distintos, aunque en su versión actual, sólo 43 de esos comandos están implementados con alguna funcionalidad. La principal responsabilidad de tminiBlindingCan es transmitir información del sistema y descargar archivos recuperados de un servidor remoto, entre otras.
Un rasgo digno de mención de la campaña es el uso de medidas de seguridad de ejecución para evitar que las cargas útiles se descifren y se ejecuten en cualquier otra máquina que no sea la de la víctima prevista.
«LightlessCan imita las funcionalidades de una amplia gama de comandos nativos de Windows, permitiendo una ejecución discreta dentro del propio RAT en lugar de ejecuciones ruidosas en la consola», dijo Kálnai. «Este cambio estratégico mejora el sigilo, haciendo que detectar y analizar las actividades del atacante sea más desafiante».
El Grupo Lazarus y otros grupos de amenazas originados en Corea del Norte han sido prolíficos en los últimos meses, habiendo perpetrado ataques que abarcan sectores manufactureros e inmobiliarios en la India, empresas de telecomunicaciones en Pakistán y Bulgaria, y contratistas gubernamentales, de investigación y de defensa en Europa, Japón. y Estados Unidos, según Kaspersky.