Los hackers de Lazarus violan empresa aeroespacial con el nuevo malware LightlessCan
El grupo de piratería norcoreano ‘Lazarus’ atacó a los empleados de una empresa aeroespacial ubicada en España con oportunidades de trabajo falsas para piratear la red corporativa utilizando una puerta trasera ‘LightlessCan’ previamente desconocida.
Los hackers utilizaron su campaña en curso “Operación Dreamjob”, que implica acercarse a un objetivo a través de LinkedIn y participar en un proceso de reclutamiento de empleados falso que requería que la víctima descargara un archivo.
El empleado lo hizo en la computadora de su compañía, lo que permitió a los piratas informáticos norcoreanos violar la red corporativa para realizar espionaje cibernético.
Cadena de ataque de ‘Lazarus’
El ataque de la Operación Dreamjob reconstruido por ESET comenzó con un mensaje de LinkedIn de Lazarus fingiendo ser un reclutador de Meta (Facebook) llamado Steve Dawson.
En etapas posteriores de la discusión, se le pidió a la víctima que demostrara su competencia en la programación de C ++ descargando algunos cuestionarios que se compartieron como ejecutables dentro de archivos ISO.
Una vez que se lanzaron esos ejecutables, una carga útil adicional de las imágenes ISO se dejó caer silenciosamente en la máquina de la víctima a través de la carga lateral de DLL (mscoree.dll) utilizando un programa legítimo (PresentationHost.exe).
Esa carga útil es el cargador de malware NickelLoader, visto desplegando dos puertas traseras, una variante de BlindingCan con funcionalidad atenuada (miniBlindingCan) y LightlessCan.
