Nhóm Lazarus, một tập đoàn hack của Triều Tiên, đã giới thiệu một biến thể phần mềm độc hại mới có tên LightlessCan trong các kế hoạch lừa đảo tuyển dụng của mình.

Không giống như các phiên bản phần mềm độc hại Lazarus trước đây, phần mềm độc hại mới này đặt ra thách thức đáng kể trong việc phát hiện.

Phát hiện đầu tiên

Nhà nghiên cứu phần mềm độc hại cao cấp của ESET, Peter Kálnai, đã tiết lộ những phát hiện nàytrong một bài đăng vào ngày 29 tháng 9 sau khi phân tích một cuộc tấn công việc làm giả vào một công ty hàng không vũ trụ Tây Ban Nha.

Cách tiếp cận điển hình của Lazarus Group liên quan đến việc dụ dỗ nạn nhân bằng những lời mời làm việc hấp dẫn tại các công ty có uy tín, lừa họ tải xuống các tải trọng độc hại được ngụy trang dưới dạng tài liệu.

Nạn nhân trong trường hợp này đã được liên hệ qua LinkedIn Messaging, một tính năng trong nền tảng mạng xã hội chuyên nghiệp LinkedIn.

Họ đã nhận được hai thử thách viết mã trong quá trình tuyển dụng mà nạn nhân đã tải xuống và thực thi trên thiết bị của công ty. Một thử thách là một dự án cơ bản hiển thị "Xin chào thế giới!" văn bản, trong khi cái còn lại in chuỗi Fibonacci.

ESET Research đã hợp tác với công ty hàng không vũ trụ bị ảnh hưởng để xây dựng lại các bước truy cập ban đầu và phân tích bộ công cụ của Tập đoàn Lazarus.

không ánh sángcó thể

Được mệnh danh là "LightlessCan" bởi nhóm ESET, phần mềm độc hại này thể hiện sự cải tiến đáng chú ý so với người tiền nhiệm của nó, BlindingCan.

Kálnai giải thích rằng LightlessCan có thể bắt chước nhiều lệnh gốc khác nhau của Windows, cho phép thực thi kín đáo bên trong chính Trojan truy cập từ xa (RAT), giảm hoạt động ồn ào của bảng điều khiển.

Ngoài ra, phần mềm độc hại mới còn kết hợp "các rào cản thực thi" để đảm bảo rằng chỉ có máy của nạn nhân mới có thể giải mã được tải trọng.

Tất cả điều này hỗ trợ ngăn chặn việc giải mã ngoài ý muốn của các nhà nghiên cứu bảo mật.

Khả năng tàng hình nâng cao này đặt ra thách thức cho các giải pháp giám sát thời gian thực như EDR và ​​​​các công cụ pháp y kỹ thuật số sau khi khám nghiệm tử thi.

Nhóm Lazarus

Nhóm Lazarus, còn được gọi là HIDDEN COBRA, là một nhóm gián điệp mạng của Triều Tiên có lịch sử ít nhất là từ năm 2009.

Đáng chú ý là tin tặc Triều Tiên được cho là đã đánh cắp khoảng 3,5 tỷ USD từ các dự án tiền điện tử kể từ năm 2016, theo công ty pháp y blockchain Chainalysis vào ngày 14 tháng 9.

Coinlive trước đây đã báo cáo về cách Tập đoàn Lazarus thực hiện cuộc đột kích trị giá 55 triệu đô la vào sàn giao dịch tiền điện tử CoinEx.

Liên Hợp Quốc nhận thấy mối đe dọa mà tập thể này đặt ra và đã tích cực làm việc để hạn chế các chiến thuật tội phạm mạng của Triều Tiên trên quy mô quốc tế.

Liên Hợp Quốc tin rằng số tiền bị đánh cắp đang đượcđược sử dụng để hỗ trợ chương trình tên lửa hạt nhân của Triều Tiên .