Северокорейская Lazarus Group использует продвинутое вредоносное ПО в мошенничестве с вакансиями
Summary:
Северокорейская Lazarus Group использует более продвинутое вредоносное ПО, получившее название LightlessCan, в своих мошеннических операциях, что значительно усложняет обнаружение. Впервые замеченная в атаке на испанскую аэрокосмическую фирму, модернизированная полезная нагрузка обладает инновационными функциями, которые повышают ее скрытность и защищают от непреднамеренной расшифровки аналитиками безопасности. Хакеры обычно заманивают жертв фальшивыми выгодными предложениями о работе и обманом заставляют их загрузить вредоносную полезную нагрузку. Сообщается, что с 2016 года северокорейские хакеры украли около 3,5 миллиардов долларов из криптовалютных проектов.
Северокорейская когорта хакеров, Lazarus Group, использует продвинутое вредоносное ПО в своих так называемых мошеннических схемах, что представляет собой более серьезную проблему для обнаружения, чем ее предыдущая итерация. 29 сентября Питер Калнаи, старший следователь по вредоносным программам в ESET, подробно рассказал о своем анализе недавней фальшивой аферы с вербовкой, нацеленной на испанскую аэрокосмическую компанию, где был обнаружен ранее незарегистрированный бэкдор под названием LightlessCan.
MO для мошенничества с наймом Lazarus Group обычно включает в себя травлю жертв потенциально прибыльной возможностью трудоустройства в уважаемой компании. Затем ничего не подозревающих кандидатов обманом заставляют загрузить вредоносную полезную нагрузку, замаскированную под документы, которая затем наносит ущерб их системам. Тем не менее, Калнай подчеркнул, что новая полезная нагрузка LightlessCan представляет собой «серьезное обновление» по сравнению со своим старым аналогом BlindingCan.
LightlessCan имитирует различные собственные команды Windows, облегчая скрытое выполнение внутри RAT, в отличие от заметных консольных выполнений. «Этот метод дает значительное преимущество с точки зрения уклончивости, помогая избежать решений для наблюдения в реальном времени, таких как EDR, и помешать цифровым криминалистическим инструментам после инцидента», — прокомментировал он.
Обновленная полезная нагрузка также включает в себя то, что Калнай называет «ограждениями исполнения», гарантируя, что полезная нагрузка может быть декодирована только в системе предназначенной жертвы, тем самым обходя непреднамеренную расшифровку аналитиками безопасности. Новое вредоносное ПО впервые было замечено в атаке на испанскую аэрокосмическую компанию, где сотруднику было отправлено сообщение от вымышленного рекрутера Meta Стива Доусона в 2022 году. Хакеры быстро отправили пару несложных задач кодирования, пронизанных вредоносным ПО.
Кибершпионаж был основным стимулом для нападения Lazarus Group на испанскую фирму, добавил Калнай. По оценкам отчетов, северокорейские хакеры украли около 3,5 миллиардов долларов из криптовалютных проектов с 2016 года, как сообщила 14 сентября компания Chainalysis, занимающаяся криминалистикой блокчейна. В прошлом году компания по кибербезопасности SentinelOne отметила мошенничество с вакансиями в LinkedIn, где жертвам предлагалась работа в Crypto.com в рамках операции под названием «Работа мечты».
Между тем, Организация Объединенных Наций предпринимает согласованные усилия по пресечению киберпреступной деятельности Северной Кореи на мировой арене, учитывая понимание того, что Северная Корея отвлекает незаконные средства на поддержание своей ракетно-ядерной инициативы.
Published At
10/2/2023 3:04:57 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.