- ESET 연구원들이 스페인 항공우주 회사를 대상으로 한 Lazarus 공격을 발견, 이전에 알려지지 않은 LightlessCan이라는 백도어를 배포했습니다.
- Lazarus 그룹은 Meta 채용 담당자로 위장한 성공적인 스피어 피싱 캠페인을 통해 초기 접근을 얻었습니다.
- 피해자는 LinkedIn 메시징을 통해 연락을 받고 두 가지 코딩 도전 과제를 받아 회사 장치에서 다운로드하고 실행했습니다.
- 이 공격은 피해를 입은 항공우주 회사와의 협력으로 밝혀졌습니다.
- 공격자들은 DLL 사이드로딩을 통해 전달된 세 가지 유형의 페이로드를 포함한 다양한 도구를 사용했습니다.
- 가장 주목할 만한 페이로드인 LightlessCan 백도어는 실시간 보안 모니터링 소프트웨어의 탐지와 사이버보안 전문가의 분석을 피하는 기술을 구현합니다.
- 2009년부터 활동한 북한과 연관된 Lazarus 그룹은 Sony Pictures Entertainment 해킹과 WannaCryptor 유행과 같은 고위 프로필 사건을 책임지고 있습니다.
- 스페인에서의 공격은 방위 및 항공우주 회사를 대상으로 한 사이버 스피오나지를 목표로 하는 Lazarus 그룹의 Operation DreamJob에 귀속되었습니다.
- Lazarus 그룹은 실행 가드레일을 사용하여 페이로드가 의도된 피해자의 기계에서만 복호화될 수 있도록 합니다.
- 새로운 페이로드인 LightlessCan은 설계와 운영에서 높은 수준의 세련미를 보여주는 복잡한 도구입니다.
- 기사는 Comcast Cable Communications, Liquid Web, Netia SA, Coreix Ltd, GoDaddy.com, 그리고 Korea Telecom을 포함한 명령 및 제어(C&C) 서버를 호스팅하는 타격을 입은 합법적인 웹사이트를 논의합니다.
- 기사는 공격자들이 사용한 MITRE ATT&CK 기법에 대한 상세한 목록을 제공합니다.
- 공격자들은 LinkedIn을 사용하여 특정 직원을 식별하고 연락하고, Meta의 헤드헌터로 위장한 가짜 LinkedIn 신원을 만들었습니다.
- 기사는 여러 출처를 참조하여 사이버 스피오나지 캠페인에 대한 포괄적인 개요를 제공합니다.
- 기사는 공격자들이 사용한 기법과 관련된 웹사이트에 대한 상세한 분석을 제공함으로써, 사이버보안에 관심이 있는 기술 지식이 풍부한 독자들에게 특히 관련성이 있습니다.