Il gruppo di hacker nordcoreano ‘Lazarus’ ha preso di mira i dipendenti di un’azienda aerospaziale situata in Spagna, utilizzando false opportunità di lavoro per infiltrarsi nella rete aziendale con un backdoor precedentemente sconosciuto chiamato ‘LightlessCan’. Gli hacker hanno utilizzato la loro campagna in corso “Operation Dreamjob”, avvicinando un obiettivo su LinkedIn e ingaggiando un falso processo di reclutamento che, a un certo punto, ha richiesto alla vittima di scaricare un file.
Catena di attacco Lazarus
L’attacco è iniziato con un messaggio LinkedIn da un attore di Lazarus che fingeva di essere un reclutatore di Meta (Facebook) di nome Steve Dawson. In seguito, alla vittima è stato chiesto di dimostrare la sua competenza in programmazione C++ scaricando alcuni quiz condivisi come eseguibili all’interno di file ISO. Una volta lanciati questi eseguibili, un payload aggiuntivo è stato silenziosamente rilasciato sul computer della vittima, permettendo agli hacker di infiltrarsi nella rete aziendale per condurre cyber spionaggio.
Backdoor LightlessCan
Secondo ESET, LightlessCan è il successore di BlindingCan, basato su somiglianze nel codice sorgente e nell’ordinamento dei comandi, presentando una struttura di codice più sofisticata e una funzionalità migliorata. La versione campionata dall’attacco all’organizzazione aerospaziale spagnola è la 1.0, con supporto per 43 comandi. Tuttavia, ESET afferma che ci sono altri 25 comandi nel codice che non sono ancora stati implementati.
Conclusione
La scoperta sottolinea che l’Operation Dreamjob di Lazarus non è guidata solo da obiettivi finanziari, come il furto di criptovalute, ma comprende anche obiettivi di spionaggio. Inoltre, l’introduzione di un nuovo payload sofisticato, il LightlessCan, è uno sviluppo preoccupante per le organizzazioni che potrebbero trovarsi nel mirino del gruppo di minacce nordcoreano.