Kuzey Kore bağlantılı Lazarus Grubu İspanya’daki isimsiz bir havacılık şirketini hedef alan ve Meta için personel alımı yapan bir tehdit aktörünün firma çalışanlarına yaklaştığı bir siber casusluk saldırısıyla bağlantılı olduğu ortaya çıktı.
ESET güvenlik araştırmacısı Peter Kálnai, The Hacker News ile paylaşılan bir teknik raporda, “Hedeflenen şirketin çalışanlarıyla LinkedIn aracılığıyla sahte bir işe alım uzmanı iletişime geçti ve kendisini bir kodlama mücadelesi veya sınavı olarak sunan kötü amaçlı bir yürütülebilir dosyayı açmaları için kandırıldı.” dedi.
Saldırı, bilgisayar korsanlığı ekibi tarafından, enfeksiyon zincirini harekete geçirmek için kazançlı iş fırsatlarıyla stratejik ilgi uyandıran potansiyel hedeflerde çalışan çalışanları cezbetmek amacıyla düzenlenen, Dream Job Operasyonu adlı uzun süredir devam eden hedef odaklı kimlik avı kampanyasının bir parçası.
Bu Mart ayının başlarında, Slovak siber güvenlik şirketi, SimplexTea adında bir arka kapı başlatmak için sahte HSBC iş tekliflerinin kullanıldığı, Linux kullanıcılarını hedef alan bir saldırı dalgasının ayrıntılarını vermişti.
Windows sistemleri için tasarlanan en son saldırının nihai hedefi, LightlessCan kod adlı bir implantın konuşlandırılmasıdır.
“Saldırının en endişe verici yönü, tasarımında ve işletiminde yüksek düzeyde gelişmişlik sergileyen ve önceki BLINDINGCAN ile karşılaştırıldığında kötü amaçlı yeteneklerde önemli bir ilerlemeyi temsil eden karmaşık ve muhtemelen gelişen bir araç olan yeni tür yük LightlessCan’dır. ” dedi Kálnai.
AIRDRY veya ZetaNile adıyla da bilinen BLINDINGCAN, sızan ana bilgisayarlardan hassas bilgileri toplayabilen, zengin özelliklere sahip bir kötü amaçlı yazılımdır.
Her şey hedefin, LinkedIn’de Meta Platformlar için çalışan sahte bir işe alım görevlisinden bir mesaj almasıyla başladı; bu kişi daha sonra sözde işe alma sürecinin bir parçası olarak iki kodlama sorgulaması gönderdi ve kurbanı test dosyalarını (Quiz1.iso ve Quiz2 olarak adlandırıldı) çalıştırmaya ikna etti. iso) üçüncü taraf bir bulut depolama platformunda barındırılır.
ESET, kötü amaçlı Quiz1.exe ve Quiz2.exe ikili dosyalarını içeren ISO dosyalarının şirket tarafından sağlanan bir cihaza indirilip çalıştırıldığını ve bunun da sistemin kendi kendini tehlikeye atmasına neden olduğunu söyledi.
Yapay Zeka ile Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Becerilerinizi Güçlendirin
Saldırı, NickelLoader olarak adlandırılan bir HTTP(S) indiricisinin önünü açıyor; bu indirici, saldırganların, LightlessCan uzaktan erişim truva atı ve miniBlindingCan olarak adlandırılan BLINDINGCAN’ın bir çeşidi de dahil olmak üzere istenen herhangi bir programı kurbanın bilgisayarının belleğine yerleştirmesine olanak tanıyor ( diğer adıyla AIRDRY.V2).
LightlessCan, 68’e kadar farklı komut desteğiyle donatılmış olarak gelir, ancak mevcut sürümünde bu komutlardan yalnızca 43’ü bazı işlevlerle uygulanmaktadır. tminiBlindingCan’ın ana sorumluluğu, diğerlerinin yanı sıra, sistem bilgilerini iletmek ve uzak bir sunucudan alınan dosyaları indirmektir.
Kampanyanın dikkate değer bir özelliği, yüklerin şifresinin çözülmesini ve hedeflenen kurbanın makinesi dışında herhangi bir makinede çalıştırılmasını önlemek için yürütme korkuluklarının kullanılmasıdır.
Kálnai, “LightlessCan, çok çeşitli yerel Windows komutlarının işlevlerini taklit ederek, gürültülü konsol yürütmeleri yerine RAT’ın kendi içinde gizli yürütmeyi mümkün kılıyor” dedi. “Bu stratejik değişim gizliliği artırıyor, saldırganın faaliyetlerini tespit etmeyi ve analiz etmeyi daha zorlu hale getiriyor.”