Kryptofirmen aufgepasst: Die neue Malware von Lazarus kann jetzt die Erkennung umgehen
Die Lazarus Group, ein nordkoreanisches Hacker-Kollektiv, hat im Rahmen ihrer gefälschten Beschäftigungsbetrügereien eine neue Art von Malware eingesetzt. Diese Malware mit dem Namen LightlessCan ist weitaus schwieriger zu erkennen als ihr Vorgänger BlindingCan.
LightlessCan ahmt die Funktionen einer breiten Palette nativer Windows-Befehle nach und ermöglicht so eine diskrete Ausführung innerhalb des RAT selbst anstelle von lauten Konsolenausführungen. Dieser Ansatz bietet einen erheblichen Vorteil im Hinblick auf die Tarnung, sowohl bei der Umgehung von Echtzeit-Überwachungslösungen wie EDRs als auch von Post-Mortem-Tools für die digitale Forensik.
Die neue Nutzlast nutzt außerdem sogenannte „Ausführungsleitlinien“, die von Forschern genannt werden. Dadurch wird sichergestellt, dass die Nutzlast nur auf dem Rechner des vorgesehenen Opfers entschlüsselt werden kann, wodurch eine unbeabsichtigte Entschlüsselung durch Sicherheitsforscher vermieden wird.
In einem Fall nutzte die Lazarus Group LightlessCan, um ein spanisches Luft- und Raumfahrtunternehmen anzugreifen. Die Hacker schickten einem Mitarbeiter ein gefälschtes Stellenangebot, und als der Mitarbeiter auf einen Link in der E-Mail klickte, wurde sein Computer mit der Malware infiziert.
Der Angriff der Lazarus Group auf das Luft- und Raumfahrtunternehmen war durch Cyberspionage motiviert. Die Hacker versuchten wahrscheinlich, sensible Daten des Unternehmens zu stehlen.