LightlessCan: Lazarus diffonde nuovo malware "silenzioso"

Il collettivo di hacker nordcoreano di Lazarus Group ha colpito nuovamente. Questa volta i cybercriminali hanno attaccato un’agenzia aerospaziale con sede in Spagna, con un nuovo malware chiamato LightlessCan. Sfruttando una falsa offerta di lavoro su LinkedIn, Lazarus è riuscita a far scaricare un file alla vittima (che credeva fosse parte del processo di reclutamento), diffondendo così la nuova minaccia. Secondo Peter Kálnai, ricercatore senior di ESET che ha analizzato attacco, gli hacker il malware LightlessCan è molto più difficile da individuare rispetto alle minacce precedenti, come il predecessore BlindingCan. Come riportato da Kálnai sul blog dell’azienda: “LightlessCan imita le funzionalità di un'ampia gamma di comandi nativi di Windows, consentendo un'esecuzione discreta all'interno del RAT stesso invece di esecuzioni rumorose sulla console. Questo cambiamento strategico migliora la segretezza, rendendo più impegnativo il rilevamento e l'analisi delle attività dell'aggressore”.

LightlessCan: la falsa offerta di lavoro su LinkedIn e il rilascio del payload di Lazarus

L’attacco analizzato da ESET risale al 2022 e farebbe parte di quella che è stata ribattezzata “Operation DreamJob”. Si tratta di una campagna di Lazarus contro organizzazioni della Difesa e agenzie aerospaziali di diverse nazioni, con l’obiettivo del cyberspionaggio. Per diffondere LightlessCan, gli hacker nordcoreani hanno attirato la vittima contattandola su LinkedIn a nome di Steve Dawson, un (falso) recruiter di Meta. Lazarus ha quindi inviato alla vittima due sfide di codifica, che la quest’ultima ha scaricato ed eseguito su un dispositivo aziendale. La prima riguardava un progetto semplice, che visualizzava il testo “Hello, World!”, mentre la seconda stampava una sequenza di Fibonacci. L’esecuzione di questi file ha portato all’introduzione silenziosa di un payload aggiuntivo (ovvero LightlessCan) che ha permesso agli hacker di infiltrarsi nella rete dell’agenzia aerospaziale spagnola.

Lazarus ha inoltre utilizzato un meccanismo chiamato execution guardrails. Si tratta di un insieme di protocolli e meccanismi di protezione che servono a salvaguardare l’integrità e la riservatezza del payload durante la sua distribuzione ed esecuzione. Ciò significa che quest’ultimo poteva soltanto essere decrittografato soltanto sul computer della vittima designata e che nemmeno i ricercatori di sicurezza avrebbero potuto effettuare l’operazione da un altro dispositivo. Lazarus non è nuova al cyberspionaggio. Già lo scorso anno, la società di sicurezza informatica SentinelOne aveva analizzato false offerte di lavoro per il sito Crypto.com, facente parte sempre di “Operation DreamJob”. Tuttavia, il nuovo malware LightlessCan mostra come gli hacker nordcoreani stanno affinando sempre più le loro tecniche per colpire le loro vittime. Il collettivo di Lazarus è divenuto sempre più pericoloso.