- นักวิจัยของ ESET พบการโจมตีของ Lazarus ที่มุ่งเป้าบริษัทอวกาศและการบินในสเปน โดยมีการติดตั้งแบ็กดอร์ที่ไม่เคยถูกเปิดเผยมาก่อนชื่อว่า LightlessCan
- กลุ่ม Lazarus ได้สิทธิ์เข้าถึงเบื้องต้นผ่านแคมเปญสเปียร์ฟิชชิงที่ประสบความสำเร็จ โดยปลอมตัวเป็นผู้สรรหางานของ Meta
- เหยื่อถูกติดต่อผ่านระบบส่งข้อความของ LinkedIn และได้รับโจทย์ทดสอบการเขียนโค้ด 2 รายการ ก่อนดาวน์โหลดและรันบนอุปกรณ์ของบริษัท
- การโจมตีนี้ถูกเปิดเผยจากความร่วมมือกับบริษัทอวกาศและการบินที่ได้รับผลกระทบ
- ผู้โจมตีใช้เครื่องมือหลากหลาย รวมถึงเพย์โหลด 3 ประเภทที่ถูกส่งผ่านเทคนิค DLL sideloading
- เพย์โหลดที่โดดเด่นที่สุดคือแบ็กดอร์ LightlessCan ซึ่งใช้เทคนิคเพื่อหลบเลี่ยงการตรวจจับจากซอฟต์แวร์มอนิเตอร์ความปลอดภัยแบบเรียลไทม์และการวิเคราะห์ของผู้เชี่ยวชาญด้านความมั่นคงไซเบอร์
- กลุ่ม Lazarus ที่เชื่อมโยงกับเกาหลีเหนือและเคลื่อนไหวมาตั้งแต่ปี 2009 เป็นผู้รับผิดชอบเหตุการณ์ใหญ่หลายครั้ง เช่น การแฮ็ก Sony Pictures Entertainment และการระบาดของ WannaCryptor
- การโจมตีในสเปนถูกจัดอยู่ใน Operation DreamJob ของกลุ่ม Lazarus ซึ่งมุ่งทำจารกรรมไซเบอร์ต่อบริษัทด้านกลาโหมและอวกาศการบิน
- กลุ่ม Lazarus ใช้ execution guardrails เพื่อให้เพย์โหลดสามารถถอดรหัสได้เฉพาะบนเครื่องของเหยื่อที่ตั้งเป้าไว้เท่านั้น
- เพย์โหลดใหม่ LightlessCan เป็นเครื่องมือที่ซับซ้อนและแสดงให้เห็นถึงความประณีตในระดับสูงทั้งด้านการออกแบบและการปฏิบัติการ
- บทความกล่าวถึงเว็บไซต์จริงที่ถูกเจาะและถูกใช้โฮสต์เซิร์ฟเวอร์สั่งการและควบคุม (C&C) รวมถึง Comcast Cable Communications, Liquid Web, Netia SA, Coreix Ltd, GoDaddy.com และ Korea Telecom
- บทความมีรายการเทคนิค MITRE ATT&CK ที่ผู้โจมตีใช้ไว้อย่างละเอียด
- ผู้โจมตีใช้ LinkedIn เพื่อระบุและติดต่อพนักงานเป้าหมายโดยเฉพาะ พร้อมสร้างตัวตนปลอมบน LinkedIn โดยสวมรอยเป็นเฮดฮันเตอร์ของ Meta
- บทความอ้างอิงหลายแหล่งเพื่อให้ภาพรวมที่ครอบคลุมของแคมเปญจารกรรมไซเบอร์นี้
- บทความมีความเกี่ยวข้องเป็นพิเศษกับผู้อ่านสายเทคนิคที่สนใจด้านความมั่นคงไซเบอร์ โดยให้การวิเคราะห์เชิงลึกเกี่ยวกับเทคนิคที่ผู้โจมตีใช้และเว็บไซต์ที่เกี่ยวข้อง
1 ความคิดเห็น
ความเห็นจาก Hacker News