LightlessCan: Neues Lazarus Group-Malware zielt auf Unternehmen
Cybersecurity-Experten von ESET warnen Unternehmen vor der neuen Malware „LightlessCan“ der Lazarus Group. Diese neue Version ist schwerer zu erkennen als ihre Vorgänger. Die Malware wird hauptsächlich in Arbeitsbetrügereien eingesetzt, bei denen Benutzer dazu gebracht werden, eine bösartige Nutzlast zu installieren, die als Aufgabe oder Dokument getarnt ist.
Die Lazarus Group ist bekannt für ihre Verbindung zu mehreren Kryptohacks, bei denen Millionen von Dollar gestohlen wurden. Zu den bemerkenswertesten Vorfällen gehört der Hacker-Angriff auf die Sportwetten-Plattform Stake.com, bei dem über 40 Millionen US-Dollar verloren gingen. Die Gruppe wurde auch mit Hacks auf Unternehmen wie AstraZeneca, Sony und WannaCry in Verbindung gebracht.
Wie funktioniert LightlessCan?
Die Cybersecurity-Experten erklären, dass die Hacker die Nutzlasten in das Netzwerk des Opfers einschleusen, indem sie einen Remote Access Trojaner (RAT) verwenden, der wesentlich fortschrittlicher ist als frühere Versionen. LightlessCan ahmt die Funktionalitäten einer Vielzahl nativer Windows-Befehle nach und ermöglicht so eine diskrete Ausführung innerhalb des RAT selbst anstelle von auffälligen Konsolenausführungen. Dadurch wird die Entdeckung und Analyse der Aktivitäten des Angreifers erschwert. LightlessCan verwendet auch Schutzmechanismen (guardrails), um die Nutzlast während ihrer Ausführung zu schützen und unbefugte Entschlüsselung auf ungewollten Maschinen, wie beispielsweise von Sicherheitsforschern, zu verhindern.
Laut dem Bericht nutzte die Lazarus Group AES-128 und RC6 mit einem 256-Bit-Schlüssel und mehrere Verschlüsselungsstufen in ihren vorherigen Kampagnen, wie dem Amazon-Vorfall. Die Endstufen-Bereitstellung der RATs erfolgt mithilfe von Droppern und Loadern, die mit der Nutzlast in das System eingebettet sind. LightlessCan ist ein komplexer RAT, der bis zu 68 verschiedene Befehle unterstützt, von denen in der aktuellen Version 1.0 jedoch nur 43 implementiert sind.
Fallstudie: Das spanische Luft- und Raumfahrtunternehmen
Die Sicherheitsforscher deckten einen Hack der Lazarus Group auf ein spanisches Luft- und Raumfahrtunternehmen auf, bei dem das neue LightlessCan-Modell verwendet wurde. Die Angreifer erlangten letztes Jahr Zugang zu den Netzwerken des Unternehmens und gaben sich als Personalvermittler aus. Sie kontaktierten das Opfer über LinkedIn und schickten zwei Codierungsaufgaben im Rahmen ihrer Einstellungsstrategie. Die erste Aufgabe bestand darin, „Hallo, Welt!“ anzuzeigen, während die zweite Aufgabe den Druck einer Fibonacci-Folge beinhaltete.
Die Sicherheitsexperten rufen zur erhöhten Wachsamkeit im Umgang mit solchen Betrugsversuchen auf, um deren Häufigkeit drastisch zu reduzieren und eine digitale Sicherheit zu gewährleisten.
