Gefälschte Recruiter locken Mitarbeitende aus der Luft- und Raumfahrt mit trojanisierten Coding-Challenges

 (welivesecurity.com)
1 Punkte von GN⁺ 2023-10-02 | 1 Kommentare | Auf WhatsApp teilen
  • Forschende von ESET entdeckten einen Lazarus-Angriff auf ein spanisches Luft- und Raumfahrtunternehmen und stellten dabei die zuvor unbekannte Backdoor namens LightlessCan fest.
  • Die Lazarus-Gruppe verschaffte sich den Erstzugang über eine erfolgreiche Spear-Phishing-Kampagne, bei der sie sich als Recruiter von Meta ausgab.
  • Das Opfer wurde über LinkedIn Messaging kontaktiert, erhielt zwei Coding-Challenges und lud diese auf einem Firmengerät herunter und führte sie aus.
  • Der Angriff wurde in Zusammenarbeit mit dem betroffenen Luft- und Raumfahrtunternehmen aufgedeckt.
  • Die Angreifer nutzten verschiedene Werkzeuge, darunter drei Arten von Payloads, die per DLL-Sideloading ausgeliefert wurden.
  • Die bemerkenswerteste Payload, die LightlessCan-Backdoor, implementiert Techniken, um der Erkennung durch Echtzeit-Sicherheitsüberwachungssoftware und der Analyse durch Cybersecurity-Expert:innen zu entgehen.
  • Die mit Nordkorea in Verbindung gebrachte Lazarus-Gruppe, die seit 2009 aktiv ist, wird für prominente Vorfälle wie den Hack von Sony Pictures Entertainment und die WannaCryptor-Welle verantwortlich gemacht.
  • Der Angriff in Spanien wurde der Operation DreamJob der Lazarus-Gruppe zugeschrieben, die auf Cyber-Spionage gegen Verteidigungs- und Luft- und Raumfahrtunternehmen abzielt.
  • Die Lazarus-Gruppe verwendet Ausführungs-Guardrails, damit Payloads nur auf den Rechnern der vorgesehenen Opfer entschlüsselt werden können.
  • Die neue Payload LightlessCan ist ein komplexes Werkzeug, das in Design und Betrieb ein hohes Maß an Raffinesse zeigt.
  • Der Artikel behandelt kompromittierte legitime Websites, die Command-and-Control-(C&C)-Server hosteten, darunter Comcast Cable Communications, Liquid Web, Netia SA, Coreix Ltd, GoDaddy.com und Korea Telecom.
  • Der Artikel liefert eine detaillierte Liste der von den Angreifern eingesetzten MITRE-ATT&CK-Techniken.
  • Die Angreifer nutzten LinkedIn, um bestimmte Mitarbeitende zu identifizieren und zu kontaktieren, und erstellten gefälschte LinkedIn-Profile, die sich als Headhunter von Meta ausgaben.
  • Der Artikel verweist auf mehrere Quellen und bietet einen umfassenden Überblick über die Cyber-Spionagekampagne.
  • Der Artikel ist besonders relevant für technisch versierte Leser:innen mit Interesse an Cybersecurity, da er eine detaillierte Analyse der von den Angreifern verwendeten Techniken und der damit verbundenen Websites bietet.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-10-02
Hacker-News-Kommentare
  • Ein Artikel über eine raffinierte Hacking-Methode, bei der sich ein Hacker als Recruiter ausgibt und Mitarbeitern der Luft- und Raumfahrtbranche mit Trojanern versehene Coding-Challenges schickt.
  • Der Hacker verschaffte sich Zugriff über Leetcode-Tests zum Mitnehmen, die in Apples Warnsystem üblicherweise ignoriert werden.
  • Der Hacker zielte auf Personen ab, die wahrscheinlich weitreichenden Zugriff auf Unternehmensinformationen haben.
  • Manche Personen nutzen Unternehmensressourcen für ihre Jobsuche, was zu solchen Sicherheitsverletzungen führen kann.
  • Der Hacker schickte dem Opfer eine .exe-Datei, was ein deutliches Warnsignal für einen möglichen Angriff hätte sein müssen.
  • Manche veröffentlichen ihren Lebenslauf absichtlich nicht im Internet, um solche Sicherheitsvorfälle zu vermeiden.
  • Es gibt Kritik an Personen, die Firmengeräte für private Angelegenheiten nutzen, da dies das Risiko von Sicherheitsverletzungen erhöht.
  • Es gibt Spekulationen darüber, wie die nordkoreanische Hackergruppe Lazarus/HIDDEN COBRA trotz des eingeschränkten Internetzugangs in Nordkorea so ausgefeilt sein kann.
  • Dieser Vorfall bringt manche dazu, sich sicherere Betriebssysteme wie qubes-os anzusehen.
  • Der Hacker schickte eine einfache Coding-Aufgabe, obwohl die meisten Unternehmen mit mittelschweren oder schweren Aufgaben beginnen, was ein Warnsignal hätte sein müssen.
  • Es gibt Anekdoten über ähnliche Hacking-Vorfälle, etwa dass ein Laptop über kostenloses WLAN kompromittiert wurde.