Криптофірми попереджені про нову кібератаку Lazarus Group, яка набагато складніша для виявлення

Північнокорейський хакерський колектив Lazarus Group розробив новий тип шкідливого програмного забезпечення, який використовується в шахрайських схемах з фальшивим працевлаштуванням. Це програмне забезпечення, яке називається LightlessCan, набагато складніше виявити, ніж його попередник, BlindingCan.

Шахрайство з фальшивими робочими місцями Lazarus Group зазвичай полягає в тому, що жертв обманюють потенційною пропозицією працевлаштування у відомій фірмі. Зловмисники спокушають жертв завантажити шкідливе корисне навантаження, замасковане під документи, щоб завдати різного роду шкоди.

LightlessCan імітує функціональність широкого спектру вбудованих команд Windows, що дозволяє йому непомітно виконувати ці команди на комп’ютері жертви. Це робить його більш складним для виявлення рішеннями для моніторингу в реальному часі, такими як EDR, а також для посмертних цифрових інструментів криміналістичної експертизи.

Крім того, LightlessCan використовує те, що називають «execution guardrails» — гарантуючи, що корисне навантаження може бути розшифроване тільки на комп’ютері передбачуваної жертви. Це допомагає запобігти ненавмисному розшифруванню дослідниками безпеки.

Lazarus Group вже використовувала LightlessCan в атаках на криптовалютні компанії. У вересні 2022 року фірма з кібербезпеки SentinelOne попередила про фальшиву аферу з працевлаштуванням в LinkedIn, яка пропонувала потенційним жертвам роботу на Crypto.com.

Організація Об’єднаних Націй намагається обмежити тактику кіберзлочинності Північної Кореї на міжнародному рівні. Однак, поки що Lazarus Group залишається однією з найактивніших кіберзлочинних груп у світі.