ESET 연구원들이 스페인 항공우주 회사를 대상으로 한 Lazarus 공격을 발견, 이전에 알려지지 않은 LightlessCan이라는 백도어를 배포했습니다.
Lazarus 그룹은 Meta 채용 담당자로 위장한 성공적인 스피어 피싱 캠페인을 통해 초기 접근을 얻었습니다.
피해자는 LinkedIn 메시징을 통해 연락을 받고 두 가지 코딩 도전 과제를 받아 회사 장치에서 다운로드하고 실행했습니다.
이 공격은 피해를 입은 항공우주 회사와의 협력으로 밝혀졌습니다.
공격자들은 DLL 사이드로딩을 통해 전달된 세 가지 유형의 페이로드를 포함한 다양한 도구를 사용했습니다.
가장 주목할 만한 페이로드인 LightlessCan 백도어는 실시간 보안 모니터링 소프트웨어의 탐지와 사이버보안 전문가의 분석을 피하는 기술을 구현합니다.
2009년부터 활동한 북한과 연관된 Lazarus 그룹은 Sony Pictures Entertainment 해킹과 WannaCryptor 유행과 같은 고위 프로필 사건을 책임지고 있습니다.
스페인에서의 공격은 방위 및 항공우주 회사를 대상으로 한 사이버 스피오나지를 목표로 하는 Lazarus 그룹의 Operation DreamJob에 귀속되었습니다.
Lazarus 그룹은 실행 가드레일을 사용하여 페이로드가 의도된 피해자의 기계에서만 복호화될 수 있도록 합니다.
새로운 페이로드인 LightlessCan은 설계와 운영에서 높은 수준의 세련미를 보여주는 복잡한 도구입니다.
기사는 Comcast Cable Communications, Liquid Web, Netia SA, Coreix Ltd, GoDaddy.com, 그리고 Korea Telecom을 포함한 명령 및 제어(C&C) 서버를 호스팅하는 타격을 입은 합법적인 웹사이트를 논의합니다.
기사는 공격자들이 사용한 MITRE ATT&CK 기법에 대한 상세한 목록을 제공합니다.
공격자들은 LinkedIn을 사용하여 특정 직원을 식별하고 연락하고, Meta의 헤드헌터로 위장한 가짜 LinkedIn 신원을 만들었습니다.
기사는 여러 출처를 참조하여 사이버 스피오나지 캠페인에 대한 포괄적인 개요를 제공합니다.
기사는 공격자들이 사용한 기법과 관련된 웹사이트에 대한 상세한 분석을 제공함으로써, 사이버보안에 관심이 있는 기술 지식이 풍부한 독자들에게 특히 관련성이 있습니다.