Zainfekowali firmę z branży lotniczej w Hiszpanii. Zaczęło się od fałszywej rekrutacji na Linkedin oraz zadania programistycznego…”Hello world”

ESET donosi o zaawansowanej kampanii hackerskiej przeprowadzonej prawdopodobnie przez grupę Lazarus (Korea Północna), a wycelowanej w kompanię z branży lotniczej w Hiszpanii (aerospace company in Spain).

Zaczęło się od celowanego phishingu, w którym atakujący podszyli się pod rekrutera z firmy META (dla przypomnienia – to ta ekipa stojąca m.in. za Facebookiem). Kontakt z pracownikiem-ofiarą rozpoczął się na Linkedin, gdzie fałszywy rekruter w trakcie prostego procesu zlecił wykonanie dwóch prostych zadań:

• Napisanie programiku „hello world”
• Napisanie programiku wypisującego kolejne liczby z ciągu Fibonacciego

Treść zadań była przekazana w formie plików wykonywalnych (bezczelne Quiz1.exe Quiz2.exe – dostarczone w formie plików Quiz1.iso Quiz2.iso), które ofiara pobrała i uruchomiła na komputerze firmowym.

Nawiązanie kontaktu na Linkedin wyglądało tak:

Po uruchomieniu „zadań”, komputer jest infekowany zaawansowanym malware, który w szczególności zawiera fragmenty kodu wpływające na efektywność rozwiązań anty-malware, jak i analizy powłamaniowej:

The most worrying aspect of the attack is the new type of payload, LightlessCan, a complex and possibly evolving tool that exhibits a high level of sophistication in its design and operation, representing a significant advancement in malicious capabilities compared to its predecessor, BlindingCan.

The attackers can now significantly limit the execution traces of their favorite Windows command line programs that are heavily used in their post-compromise activity. This maneuver has far-reaching implications, impacting the effectiveness of both real-time monitoring solutions and of post-mortem digital forensic tools.

~ms