حذر خبراء الأمن السيبراني في شركة ESET الشركات من التهديد الذي تشكله البرمجيات الخبيثة الجديدة لمجموعة Lazarus Group “LightlessCan”، قائلين إن اكتشافها أكثر صعوبة من الإصدارات السابقة.
وفقًا للشركة، يتم نشر البرامج الضارة في الغالب في عمليات الاحتيال المتعلقة بالتوظيف لجذب المستخدمين لتثبيت حمولة ضارة متخفية في شكل مهمة وظيفية أو مستند يتعلق بالشركة.
فيه منشور المدونة الأخير في 29 سبتمبروسلطت الشركة الضوء على كيفية عمل البرمجيات الخبيثة الجديدة، وأضرارها التي لحقت بأنظمة الشبكة، وسلاسل التنفيذ المختلفة التي تؤدي إلى التجسس الإلكتروني، وما إلى ذلك.
وكانت مجموعة لازاروس مرتبط بالعديد من عمليات اختراق العملات المشفرة وصلت إلى ملايين الدولارات، وأبرزها الحادث الذي شهد مسح أكثر من 40 مليون دولار من منصة المراهنات الرياضية، Stake.com.
كما ارتبطت المجموعة أيضًا بحوادث Bitthumb وNicehash التي سجلت سرقة الملايين إلى جانب عمليات اختراق الشركات التقليدية مثل AstraZeneca وSony وWannaCry وغيرها.
وهنا كيف عملت
وأوضح خبراء الأمن السيبراني أن المتسللين يقومون بتسليم حمولات إلى شبكة الضحية من خلال استخدام حصان طروادة للوصول عن بعد، وهو تقدم أكثر تعقيدًا بكثير من الإصدارات السابقة.
“يحاكي LightlessCan وظائف مجموعة واسعة من أوامر Windows الأصلية، مما يتيح التنفيذ السري داخل RAT نفسه بدلاً من عمليات تنفيذ وحدة التحكم الصاخبة. ويعزز هذا التحول الاستراتيجي القدرة على التخفي، مما يجعل اكتشاف وتحليل أنشطة المهاجم أكثر صعوبة.
يستخدم LightlessCan أيضًا حواجز الحماية التي تعمل كآليات حماية للحمولة أثناء تنفيذها.منع بشكل فعال فك التشفير غير المصرح به على الأجهزة غير المقصودة، مثل تلك الخاصة بالباحثين الأمنيين. اضافوا.
وفقًا للتقرير، بعد الحصول على الوصول الأولي من خلال عملية توظيف وسائل التواصل الاجتماعي، استخدمت تشفيرات متعددة، AES-128 وRC6 مع مفتاح 256 بت من حملاتها السابقة مثل حادثة أمازون.
يعمل نشر RATs في المراحل النهائية مع أدوات القطر والتحميل المضمنة مع الحمولة النافعة في الأنظمة
“الحمولة الأكثر إثارة للاهتمام المستخدمة في هذه الحملة هي LightlessCan، وهي خليفة HTTP(S) Lazarus RAT الرئيسي للمجموعة والمسمى BlindingCan. LightlessCan هو RAT معقد جديد يدعم ما يصل إلى 68 أمرًا مختلفًا، مفهرسة في جدول وظائف مخصص، ولكن في الإصدار الحالي 1.0، يتم تنفيذ 43 أمرًا فقط من تلك الأوامر مع بعض الوظائف.
وأخيراً، دعا الفريق الأمني إلى تجديد الوعي بعمليات الاحتيال ذات الصلة لتقليل حدوثها بشكل كبير لتحقيق الأمان الرقمي.
شركة الطيران الاسبانية كدراسة حالة
كشفت الشركة عن اختراق قامت به مجموعة Lazarus Group لشركة طيران إسبانية تستفيد من طراز LightlessCan الجديد.
وتمكن الممثلون السيئون من الوصول إلى شبكات الشركة العام الماضي بعد سلسلة من الحملات المستهدفة التي عملت كمجندين للشركة.
لقد اتصلوا بالضحية من خلال Linkedin وأرسلوا مهمتين للبرمجة كجزء من استراتيجية التوظيف. كانت المهمة الأولى هي العرض الأساسي لكلمة “Hello, World!” بينما تضمن الثاني طباعة تسلسل فيبوناتشي.
