Logiciel malveillant LightlessCan

Des cybercriminels ont mené une attaque d'espionnage contre une entreprise aérospatiale non divulguée en Espagne. Lors de cet incident, les auteurs de la menace ont pris l'apparence d'un recruteur affilié à Meta (anciennement Facebook) pour cibler les employés de l'entreprise. Ces employés ont été contactés via LinkedIn par le recruteur frauduleux et ont ensuite été trompés en téléchargeant et en ouvrant un fichier exécutable menaçant. Le fichier trompeur a été présenté comme un défi de codage ou un quiz. Les systèmes compromis ont ensuite été infectés par une menace de porte dérobée jusque-là inconnue, identifiée sous le nom de LightlessCan.

Cette cyberattaque fait partie d'une campagne de spear phishing bien établie connue sous le nom d'« Opération Dream Job ». Elle est orchestrée par le groupe Lazarus , un acteur APT (Advanced Persistent Threat) lié à la Corée du Nord. L’objectif premier de l’Opération Dream Job est d’attirer les salariés qui travaillent au sein d’organisations d’intérêt stratégique. Les attaquants utilisent la promesse d'opportunités d'emploi attractives comme appât pour initier la chaîne d'infection, dans le but ultime de compromettre les systèmes et les données de leurs cibles.

Une chaîne d'attaque en plusieurs étapes génère le logiciel malveillant LightlessCan

La chaîne d'attaque commence lorsque la personne ciblée reçoit un message via LinkedIn d'un recruteur frauduleux prétendant représenter des méta-plateformes. Ce faux recruteur envoie ensuite deux défis de codage, apparemment dans le cadre du processus de recrutement. Ils ont réussi à convaincre la victime d'exécuter ces fichiers de test, hébergés sur une plate-forme de stockage cloud tierce et nommés Quiz1.iso et Quiz2.iso.

Comme l'ont identifié les experts en cybersécurité, ces fichiers ISO contiennent des fichiers binaires malveillants appelés Quiz1.exe et Quiz2.exe. Les victimes doivent télécharger et exécuter les fichiers sur un appareil fourni par l'entreprise ciblée. Cela entraînerait la compromission du système, entraînant une violation du réseau d'entreprise.

Cette faille ouvre la porte au déploiement d'un téléchargeur HTTP(S) appelé NickelLoader. Grâce à cet outil, les attaquants ont la possibilité d'injecter n'importe quel programme souhaité directement dans la mémoire de l'ordinateur de la victime. Parmi les programmes déployés figuraient le cheval de Troie d'accès à distance LightlessCan et une variante de BLINDINGCAN , connue sous le nom de miniBlindingCan (également appelée AIRDRY.V2). Ces outils menaçants pourraient accorder aux attaquants un accès et un contrôle à distance sur le système compromis.

LightlessCan représente une évolution du puissant arsenal de Lazarus

L'aspect le plus préoccupant de l'attaque concerne l'introduction d'une nouvelle charge utile nommée LightlessCan. Cet outil sophistiqué présente une avancée significative en termes de capacités nocives par rapport à son prédécesseur, BLINDINGCAN (également connu sous le nom d'AIDRY ou ZetaNile). BLINDINGCAN était déjà un malware riche en fonctionnalités, capable d'extraire des informations sensibles d'hôtes compromis.

LightlessCan prend en charge jusqu'à 68 commandes distinctes, bien que sa version actuelle n'intègre que 43 de ces commandes avec au moins certaines fonctionnalités. Quant à miniBlindingCan, il gère principalement des tâches telles que la transmission d'informations système et le téléchargement de fichiers récupérés depuis un serveur distant.

Une caractéristique remarquable de cette campagne est la mise en place de garde-fous d’exécution. Ces mesures empêchent les charges utiles d'être déchiffrées et exécutées sur toute machine autre que celle de la victime prévue.

LightlessCan est conçu pour fonctionner de manière à émuler les fonctionnalités de nombreuses commandes Windows natives. Cela permet au RAT d'effectuer une exécution discrète en lui-même, évitant ainsi le besoin d'opérations bruyantes sur la console. Ce changement stratégique renforce la furtivité, rendant plus difficile la détection et l'analyse des activités de l'attaquant.