De aan Noord-Korea gelinkte hackersgroep Lazarus heeft zich via LinkedIn voorgedaan als recruiters van Meta. Op die manier verleidde het medewerkers van een Spaans luchtvaartbedrijf om een bestand te downloaden dat een backdoor bevatte.
De aanval werd uiteindelijk ontmaskert door ESET, dat een nieuwe backdoor ontdekte, genaamd LightlessCan. Deze implementeert technieken om detectie door realtime beveiligingsmonitoringsoftware en analyse door cybersecurity professionals te belemmeren. “Het meest verontrustende aspect van de aanval is het nieuwe type payload, LightlessCan, een complexe en mogelijk evoluerende toepassing die een hoog niveau van verfijning vertoont in zijn ontwerp en werking, en een aanzienlijke vooruitgang betekent in kwaadaardige capaciteiten in vergelijking met zijn voorganger, BlindingCan,” legt ESET-onderzoeker Peter Kálnai uit, die de ontdekking deed.
LinkedIn Messaging
De valse recruiter nam contact op met het slachtoffer via LinkedIn Messaging, een functie binnen het professionele sociale netwerkplatform LinkedIn, en stuurde twee coderingsuitdagingen die zogenaamd nodig waren als onderdeel van een aannameproces, die het slachtoffer downloadde en uitvoerde op een apparaat van het bedrijf. ESET Research was in staat om de initiële toegangsstappen te reconstrueren en de door Lazarus gebruikte toolset te analyseren dankzij de samenwerking met het getroffen luchtvaartbedrijf. De groep richtte zich op meerdere werknemers van het bedrijf.
Lazarus leverde verschillende payloads aan de systemen van de slachtoffers; de meest opvallende is een voorheen publiekelijk ongedocumenteerde en geavanceerde remote access trojan (RAT) die door ESET LightlessCan werd gedoopt. De trojan bootst de functionaliteiten van een groot aantal native Windows-commando’s na, die gewoonlijk door aanvallers worden misbruikt waardoor discrete uitvoering binnen de RAT zelf mogelijk is in plaats van luidruchtige console-uitvoer. “Deze strategische verschuiving verbetert de verborgenheid, waardoor het moeilijker wordt om de activiteiten van de aanvaller te detecteren en analyseren.”
Een ander mechanisme dat volgens ESET wordt gebruikt om blootstelling te minimaliseren, is het gebruik van afschermingen voor de uitvoering: “Lazarus zorgde ervoor dat de payload alleen kon worden gedecodeerd op de machine van het beoogde slachtoffer. Execution guardrails zijn een verzameling beschermende protocollen en mechanismen die zijn geïmplementeerd om de betrouwbaarheid van de payload te waarborgen tijdens de implementatie en uitvoering, waardoor ontcijfering op onbedoelde machines, zoals die van beveiligingsonderzoekers, effectief wordt voorkomen.”
De Lazarus-groep (ook bekend als HIDDEN COBRA) is een cyberspionagegroep die banden heeft met Noord-Korea en actief is sinds 2009. De diversiteit, het aantal en de excentriciteit in de uitvoering van Lazarus-campagnes zijn kenmerkend voor deze groep, die alle drie de pijlers van cybercriminele activiteiten uitvoert: cyberspionage, cybersabotage en het nastreven van financieel voordeel. Lucht- en ruimtevaartbedrijven zijn geen ongewoon doelwit voor Noord-Koreaanse APT-groepen. Het land heeft meerdere geavanceerde rakettesten uitgevoerd die in strijd zijn met de resoluties van de Veiligheidsraad van de Verenigde Naties.