Falso recrutador atrai funcionários do setor aeroespacial com desafio de programação trojanizado

 (welivesecurity.com)
1 pontos por GN⁺ 2023-10-02 | 1 comentários | Compartilhar no WhatsApp
  • Pesquisadores da ESET descobriram um ataque do Lazarus contra uma empresa aeroespacial espanhola, distribuindo um backdoor até então desconhecido chamado LightlessCan.
  • O grupo Lazarus obteve acesso inicial por meio de uma campanha bem-sucedida de spear phishing, fingindo ser recrutadores da Meta.
  • A vítima foi contatada pelo LinkedIn Messaging e recebeu dois desafios de programação, que baixou e executou em um dispositivo da empresa.
  • O ataque foi revelado em colaboração com a empresa aeroespacial afetada.
  • Os invasores usaram várias ferramentas, incluindo três tipos de payloads entregues por DLL side-loading.
  • O payload mais notável, o backdoor LightlessCan, implementa técnicas para evitar a detecção por software de monitoramento de segurança em tempo real e a análise por especialistas em cibersegurança.
  • Ativo desde 2009 e ligado à Coreia do Norte, o grupo Lazarus é responsável por incidentes de grande repercussão, como o ataque à Sony Pictures Entertainment e a onda do WannaCryptor.
  • O ataque na Espanha foi atribuído à Operation DreamJob do grupo Lazarus, que tem como objetivo a ciberespionagem contra empresas de defesa e aeroespacial.
  • O grupo Lazarus usa guardrails de execução para garantir que os payloads só possam ser descriptografados na máquina da vítima pretendida.
  • O novo payload, LightlessCan, é uma ferramenta complexa que demonstra um alto nível de sofisticação em seu design e operação.
  • O artigo discute sites legítimos comprometidos usados para hospedar servidores de comando e controle (C&C), incluindo Comcast Cable Communications, Liquid Web, Netia SA, Coreix Ltd, GoDaddy.com e Korea Telecom.
  • O artigo fornece uma lista detalhada das técnicas MITRE ATT&CK usadas pelos invasores.
  • Os invasores usaram o LinkedIn para identificar e contatar funcionários específicos, criando identidades falsas na plataforma e se passando por headhunters da Meta.
  • O artigo consulta várias fontes para oferecer uma visão abrangente da campanha de ciberespionagem.
  • O artigo é especialmente relevante para leitores com conhecimento técnico e interesse em cibersegurança, ao oferecer uma análise detalhada das técnicas usadas pelos invasores e dos sites relacionados.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-10-02
Comentários no Hacker News
  • Artigo sobre um método engenhoso de hacking em que um invasor se passou por recrutador e enviou um desafio de programação trojanizado para funcionários do setor aeroespacial.
  • O invasor obteve acesso por meio de um teste estilo leetcode para fazer em casa, algo que normalmente é ignorado pelo sistema de alertas da Apple.
  • O invasor mirou pessoas que provavelmente teriam acesso de alto nível a informações corporativas.
  • Algumas pessoas usam recursos da empresa para procurar emprego, e isso pode levar a esse tipo de violação de segurança.
  • O invasor enviou um arquivo .exe à vítima, o que deveria ter sido um grande sinal de alerta indicando a possibilidade de ataque.
  • Algumas pessoas evitam publicar intencionalmente seus currículos na internet para fugir desse tipo de incidente de segurança.
  • Há críticas a pessoas que usam dispositivos da empresa para assuntos pessoais, o que aumenta o risco de violações de segurança.
  • Há especulações sobre como o grupo de hackers norte-coreano Lazarus/HIDDEN COBRA consegue ser tão sofisticado, apesar do acesso limitado dos norte-coreanos à internet.
  • Esse caso leva algumas pessoas a considerar sistemas operacionais mais seguros, como o qubes-os.
  • O invasor enviou um problema de programação simples, o que deveria ter sido um sinal de alerta, já que a maioria das empresas começa com problemas de nível médio ou difícil.
  • Há relatos de incidentes semelhantes de hacking, como casos em que um notebook foi comprometido por meio de Wi‑Fi gratuito.