Криптофирмы, будьте осторожны: новое вредоносное ПО Lazarus теперь может обходить обнаружение

Lazarus Group, северокорейский хакерский коллектив, использует новый тип вредоносного ПО в рамках своих фиктивных афер с трудоустройством. Это вредоносное ПО, получившее название LightlessCan, обнаружить гораздо сложнее, чем его предшественника BlindingCan.

LightlessCan имитирует функциональные возможности широкого спектра собственных команд Windows, обеспечивая незаметное выполнение внутри самой RAT вместо шумных консольных исполнений. Этот подход дает значительное преимущество с точки зрения скрытности, как для обхода решений мониторинга в реальном времени, таких как EDR, так и для посмертных инструментов цифровой криминалистики.

В новой полезной нагрузке также используется то, что исследователи называют «ограничителями выполнения», гарантируя, что полезная нагрузка может быть расшифрована только на машине предполагаемой жертвы, тем самым избегая непреднамеренного расшифрования исследователями безопасности.

В одном случае Lazarus Group использовала LightlessCan для атаки на испанскую аэрокосмическую фирму. Хакеры отправили сотруднику поддельное предложение о работе, и когда сотрудник нажал на ссылку в электронном письме, его компьютер был заражен вредоносным ПО.

Атака Lazarus Group на аэрокосмическую фирму была мотивирована кибершпионажем. Хакеры, вероятно, пытались украсть конфиденциальные данные компании.

#YasinCoder

#Malware

#Attack