ESET-onderzoekers ontdekten een Lazarus-aanval op een Spaanse lucht- en ruimtevaartbedrijf. De groep zette verschillende tools in, zoals de nieuw ontdekte backdoor die door ESET LightlessCan werd genoemd. De operatoren van de aan Noord-Korea gelinkte Lazarus-groep kregen vorig jaar een eerste toegang tot het netwerk van het bedrijf na een succesvolle spearphishing-campagne. Ze waren vermomd als recruiter voor Meta – het bedrijf achter Facebook, Instagram en WhatsApp. Hun uiteindelijke doel was cyberspionage.
· ESET Research ontdekte een Lazarus-aanval op een lucht- en ruimtevaartbedrijf in Spanje. Lazarus is een Advanced Persistent Threat (APT)-groep gelinkt aan Noord-Korea.
· Werknemers van het doelwit werden via LinkedIn door een nep-recruiter benaderd en misleid om een kwaadaardig uitvoerbaar bestand te openen dat zich voordeed als een quiz.
· De meest opvallende lading is de LightlessCan backdoor, met technieken om detectie door realtime beveiligingsmonitoringsoftware en analyse door cyberbeveiligingsprofessionals te verhinderen.
· Het uiteindelijke doel van de aanval was cyberspionage.
BRATISLAVA, PRAAG — 29 september, 2023 — ESET-onderzoekers ontdekten een Lazarus-aanval op een Spaanse lucht- en ruimtevaartbedrijf. De groep zette verschillende tools in, zoals de nieuw ontdekte backdoor die door ESET LightlessCan werd genoemd. De operatoren van de aan Noord-Korea gelinkte Lazarus-groep kregen vorig jaar een eerste toegang tot het netwerk van het bedrijf na een succesvolle spearphishing-campagne. Ze waren vermomd als recruiter voor Meta – het bedrijf achter Facebook, Instagram en WhatsApp. Hun uiteindelijke doel was cyberspionage.
“Het meest zorgwekkend aan de aanval is het nieuwe type payload, LightlessCan, een complexe en mogelijk evoluerende tool met een hoog niveau aan verfijning in zijn ontwerp en werking. Dit is een aanzienlijke vooruitgang in kwaadaardige mogelijkheden vergeleken met zijn voorganger, BlindingCan ”, zegt ESET-onderzoeker Peter Kálnai, die de ontdekking deed.
De nep-recruiter contacteerde het slachtoffer via LinkedIn Messaging, een functie binnen het LinkedIn platform, en stuurde twee coderingsuitdagingen die zogezegd nodig waren als onderdeel van een aanwervingsproces. Het slachtoffer moest die downloaden en uitvoeren op een bedrijfstoestel. ESET Research kon de initiële toegangsetappes reconstrueren en de toolset van Lazarus analyseren dankzij de samenwerking met het getroffen lucht- en ruimtevaartbedrijf. De groep doelde op meerdere werknemers van het bedrijf.
Lazarus leverde verschillende payloads aan de systemen van de slachtoffers; de meest opvallende is een nog niet gedocumenteerde en geavanceerde trojaan voor externe toegang (RAT), door ESET LightlessCan genoemd. De trojaan bootst de functionaliteiten na van een reeks native Windows-opdrachten, meestal misbruikt door de aanvallers, waardoor discrete uitvoering binnen de RAT zelf mogelijk wordt in plaats van luidruchtige console-uitvoeringen. Die strategische wijziging verdoezelt beter, zodat het detecteren en analyseren van de activiteiten van de aanvaller een grotere uitdaging wordt.
Een ander mechanisme om de blootstelling te minimaliseren is het gebruik van uitvoeringsvangrails: Lazarus zorgde dat de payload enkel op de machine van het beoogde slachtoffer kon ontsleuteld worden. Uitvoeringsvangrails zijn beschermende protocollen en mechanismen, geïmplementeerd om de integriteit en vertrouwelijkheid van de payload te beschermen tijdens zijn uitvoering, zodat decodering op andere machines, zoals die van security researchers, niet mogelijk is.
LightlessCan ondersteunt tot 68 verschillende commando’s, maar in zijn huidige versie, 1.0, zijn slechts 43 van die commando’s met enige functionaliteit geïmplementeerd. ESET Research identificeerde vier verschillende uitvoeringsketens, die drie soorten payloads leveren.
De Lazarus-groep (ook HIDDEN COBRA genaamd) is een cyberspionagegroep gelinkt aan Noord-Korea en minstens sinds 2009 actief. De diversiteit, het aantal en de excentriciteit bij het implementeren van Lazarus-campagnes definiëren deze groep, die de drie pijlers van cybercriminaliteit bespeelt: cyberspionage, cybersabotage en financieel gewin. Ruimtevaartbedrijven zijn geen ongewone doelwitten voor Noord-Koreaanse APT-groepen. Het land heeft meerdere geavanceerde rakettesten uitgevoerd in strijd met de resoluties van de Veiligheidsraad van de Verenigde Naties.
Meer technische informatie over Lazarus, de nieuwste aanval en de LightlessCan-achterdeur, zijn te vinden in de blog “Lazarus luring employees with trojanized coding challenges: The case of a Spanish aerospace company” op WeLiveSecurity. ESET Research zal de bevindingen over deze aanval presenteren op de Virus Bulletin-conferentie op 4 oktober 2023. Zorg dat u ESET Research op Twitter (tegenwoordig bekend als X) volgt voor het laatste nieuws van ESET Research.