Az észak-koreai „Lazarus” hacker csoport egy spanyol repülőgép ipari vállalat alkalmazottait célozta meg hamis munkalehetőségekkel, hogy egy korábban ismeretlen „LightlessCan” backdoor segítségével feltörjék a vállalati hálózatot.
Az ESET által rekonstruált „Operation Dreamjob” támadás a Lazarus tagjának LinkedIn üzenetével indult, aki a Meta (Facebook) Steve Dawson nevű toborzójának adta ki magát. Az „állásinterjú” későbbi szakaszaiban a Lazarus hackereinek egy trükkel sikerült megtéveszteniük az áldozatot, amikor arra kérték, hogy bizonyítson C++ programozási tudásáról néhány kvíz kitöltésével, amelyeket ISO fájlokként osztottak meg.
Mivel az alkalmazott céges munkaeszközéről nyitotta meg a káros fájlt, lehetővé tette a hackerek számára, hogy feltörjék a vállalati hálózatot. Miután a futtatható fájlok elindultak, az ISO képfájlokból további fájlok kerültek töltődtek le az áldozat gépére, amelyek két backdoort is telepítettek: a BlindingCan egy csökkentett funkcionalitással futó változatát (miniBlindingCan) és a LightlessCant.
Az ESET több érdekességet is kiemelt a káros kód kapcsán. A LightlessCan az ún. BlindingCan káros kód utódja, amely a forráskód és a parancsok sorrendjének hasonlóságán alapul, kifinomultabb kódstruktúrával, eltérő indexeléssel és továbbfejlesztett funkcionalitással. A program számos natív Windows parancsot replikál, mint például a ping, ipconfig, netstant, mkdir, schstasks, systeminfo, így anélkül tudja futtatni őket, hogy megjelennének a rendszerkonzolon, ezáltal könnyebben kerüli ki a valós idejű kibervédelmi eszközöket. Mivel ezek a parancsok zárt forrásúak, az ESET megjegyzi, hogy a Lazarusnak vagy sikerült visszafejteni a kódot vagy a nyílt forráskódú verziókból merített ihletet.
Az ESET szerint egy másik érdekesség, hogy az általuk mintavételezett LightlessCan egyik payloadja titkosított volt, és csak a cél környezetétől függő kulccsal lehetett visszafejteni. Ez egy aktív védelmi intézkedés, amely megakadályozza, hogy például biztonsági kutatók vagy elemzők kívülről hozzáférjenek az áldozat számítógépéhez.
Ez az új, kifinomult LightlessCan megjelenése aggodalomra ad okot az állami, pénzügyi és ipari szervezetek számára, amelyek gyakran kerülnek az észak-koreai fenyegetettségi csoport célkeresztjébe.
