29 Eylül 2023THNSiber Casusluk / Kötü Amaçlı Yazılım
Kuzey Kore bağlantılı Lazarus Grubu İspanya’daki isimsiz bir havacılık şirketini hedef alan ve Meta için personel alımı yapan bir tehdit aktörünün firma çalışanlarına yaklaştığı bir siber casusluk saldırısıyla bağlantılı olduğu ortaya çıktı
Kampanyanın dikkate değer bir özelliği, yüklerin şifresinin çözülmesini ve hedeflenen kurbanın makinesi dışında herhangi bir makinede çalıştırılmasını önlemek için yürütme korkuluklarının kullanılmasıdır
Kálnai, “LightlessCan, çok çeşitli yerel Windows komutlarının işlevlerini taklit ederek, gürültülü konsol yürütmeleri yerine RAT’ın kendi içinde gizli yürütmeyi mümkün kılıyor” dedi
ESET güvenlik araştırmacısı Peter Kálnai, “Hedef şirketin çalışanlarıyla LinkedIn aracılığıyla sahte bir işe alım uzmanı iletişime geçti ve kendilerini bir kodlama mücadelesi veya testi olarak sunan kötü amaçlı bir yürütülebilir dosyayı açmaları için kandırıldı
Her şey hedefin, LinkedIn’de Meta Platformlar için çalışan sahte bir işe alım görevlisinden bir mesaj almasıyla başladı; bu kişi daha sonra sözde işe alma sürecinin bir parçası olarak iki kodlama sorgulaması gönderdi ve kurbanı test dosyalarını (Quiz1 ” dedi Kálnai ”
Lazarus Grubu ve Kuzey Kore kökenli diğer tehdit kümeleri, son aylarda Hindistan’daki imalat ve emlak sektörlerine, Pakistan ve Bulgaristan’daki telekom şirketlerine ve Avrupa, Japonya’daki hükümet, araştırma ve savunma müteahhitlerine yönelik saldırılar düzenleyerek son aylarda üretken oldu
Windows sistemleri için tasarlanan en son saldırının nihai hedefi, LightlessCan kod adlı bir implantın konuşlandırılmasıdır exe ikili dosyalarını içeren ISO dosyalarının şirket tarafından sağlanan bir cihaza indirilip çalıştırıldığını, bunun da sistemin kendi kendini tehlikeye atmasına ve kurumsal ağın ihlaline yol açtığını söyledi
siber-2
ESET, kötü amaçlı Quiz1
LightlessCan, 68’e kadar farklı komut desteğiyle donatılmıştır, ancak mevcut sürümünde bu komutlardan yalnızca 43’ü bazı işlevlerle uygulanmaktadır
AIRDRY veya ZetaNile adıyla da bilinen BLINDINGCAN, sızan ana bilgisayarlardan hassas bilgileri toplayabilen, zengin özelliklere sahip bir kötü amaçlı yazılımdır “Bu stratejik değişim gizliliği artırıyor, saldırganın faaliyetlerini tespit etmeyi ve analiz etmeyi daha zorlu hale getiriyor
“Saldırının en endişe verici yönü, tasarımında ve işletiminde yüksek düzeyde gelişmişlik sergileyen ve önceki BLINDINGCAN ile karşılaştırıldığında kötü amaçlı yeteneklerde önemli bir ilerlemeyi temsil eden karmaşık ve muhtemelen gelişen bir araç olan yeni tür yük LightlessCan’dır iso) üçüncü taraf bir bulut depolama platformunda barındırılır
Saldırı, bilgisayar korsanlığı ekibi tarafından stratejik öneme sahip potansiyel hedeflerde çalışan çalışanları cezbetmek ve onları enfeksiyon zincirini harekete geçirmek için kazançlı iş fırsatlarıyla baştan çıkarmak amacıyla düzenlenen, Dream Job Operasyonu adlı uzun süredir devam eden hedef odaklı kimlik avı kampanyasının bir parçası göre ve ABD Kaspersky
Bu Mart ayının başlarında, Slovak siber güvenlik şirketi, SimplexTea adında bir arka kapı başlatmak için sahte HSBC iş tekliflerinin kullanıldığı, Linux kullanıcılarını hedef alan bir saldırı dalgasının ayrıntılarını vermişti tminiBlindingCan’ın ana sorumluluğu, diğerlerinin yanı sıra sistem bilgilerini iletmek ve uzak bir sunucudan alınan dosyaları indirmektir
Saldırı, NickelLoader olarak adlandırılan bir HTTP(S) indiricisinin önünü açıyor; bu indirici, saldırganların, LightlessCan uzaktan erişim truva atı ve miniBlindingCan olarak adlandırılan BLINDINGCAN’ın bir çeşidi de dahil olmak üzere istenen herhangi bir programı kurbanın bilgisayarının belleğine yerleştirmesine olanak tanıyor ( diğer adıyla AIRDRY iso ve Quiz2 olarak adlandırıldı) çalıştırmaya ikna etti