1 Punkte von GN⁺ 2023-10-02 | 1 Kommentare | Auf WhatsApp teilen
  • Mitarbeiter eines spanischen Luft- und Raumfahrtunternehmens wurden auf LinkedIn von Lazarus kontaktiert, das sich als Meta-Recruiter ausgab; die erste Kompromittierung erfolgte, als sie Dateien, die wie ein Einstellungstest wirkten, auf Unternehmensgeräten ausführten
  • Die bösartigen Aufgaben wurden als Quiz1.exe und Quiz2.exe ausgeliefert; nach der Ausgabe von „Hello, World!“ beziehungsweise der Fibonacci-Folge wurde die Installation zusätzlicher Payloads aus einem ISO-Image ausgelöst
  • Nach der Kompromittierung wurden per DLL-Sideloading NickelLoader, miniBlindingCan und der neue RAT LightlessCan verteilt; ESET ordnet die Aktivität mit hoher Sicherheit Lazarus im Zusammenhang mit Operation DreamJob zu
  • LightlessCan scheint ein Nachfolger von BlindingCan zu sein und bildet Windows-Befehle wie ipconfig, net, ping, systeminfo und sc innerhalb des RAT nach, um Spuren von Konsolenausführungen zu reduzieren
  • Ziel des Angriffs war Cyber-Spionage; durch die eingebauten Befehle und Ausführungs-Guardrails, die eine Entschlüsselung nur auf dem Opfergerät erlauben, werden Echtzeiterkennung und nachträgliche forensische Analyse erschwert

Erste Kompromittierung über LinkedIn-Recruiting-Köder

  • Lazarus kontaktierte mehrere Mitarbeiter eines spanischen Luft- und Raumfahrtunternehmens über LinkedIn Messaging
    • Der Angreifer gab sich als Recruiter von Meta aus, der Muttergesellschaft von Facebook, Instagram und WhatsApp
    • Als Teil des Bewerbungsprozesses wurde verlangt, C++-Programmierkenntnisse nachzuweisen
  • Das Opfer lud Quiz1.iso und Quiz2.iso aus einem Cloud-Speicher eines Drittanbieters herunter und führte die darin enthaltenen ausführbaren Dateien auf einem Unternehmensgerät aus
    • Quiz1.exe: als einfache Aufgabe getarnt, die „Hello, World!“ ausgibt
    • Quiz2.exe: als Aufgabe getarnt, die die Fibonacci-Folge bis zum größten Element ausgibt, das kleiner als der Eingabewert ist
    • Beide ausführbaren Dateien verarbeiteten Ein- und Ausgabe wie normale Konsolenanwendungen und starteten anschließend die Installation zusätzlicher bösartiger Payloads
  • Der erste Payload ist ein HTTP(S)-Downloader, den ESET NickelLoader nennt
    • NickelLoader kann vom Angreifer gewünschte Programme im Speicher des Opferrechners bereitstellen

Zuordnung zu Lazarus und Operation DreamJob

  • ESET ordnet den Angriff in Spanien mit hoher Sicherheit Lazarus zu, insbesondere Aktivitäten im Zusammenhang mit Operation DreamJob
  • Malware, Infrastruktur und Ziele überschneiden sich mit früheren Lazarus-Kampagnen
    • Die Methode, nach einer Kontaktaufnahme über LinkedIn zur Ausführung bösartiger Dateien zu verleiten, die als Einstellungstest getarnt sind, ist eine Taktik, die Lazarus seit Operation DreamJob nutzt
    • Beobachtet wurden ein Intermediate Loader sowie neue Varianten der Backdoor-Familie BlindingCan, die bereits im niederländischen Fall von 2022 identifiziert wurden
    • In den Tools kamen AES-128 und RC6-Verschlüsselung mit 256-Bit-Schlüssel zum Einsatz, ein Verfahren, das auch in Kampagnen mit Amazon-Thema verwendet wurde
  • Statt eigene C&C-Server der ersten Stufe direkt aufzubauen, kompromittierten und nutzten die Angreifer bestehende Websites mit schwacher Sicherheit oder mangelhafter Wartung
  • Der Diebstahl von Know-how aus Luft- und Raumfahrtunternehmen passt zu den langfristigen Zielen von Lazarus
    • UN-Berichte behandeln Angriffe nordkoreanisch verbundener APT-Gruppen auf Luft- und Raumfahrtunternehmen, um Zugang zu sensibler Technologie und Aerospace-Wissen zu erlangen

Tooling nach der Kompromittierung

  • Nach der Ausführung von NickelLoader verteilte der Angreifer zwei Arten von RATs auf dem Opfersystem
    • miniBlindingCan: eine funktionsreduzierte Variante der als Lazarus-Tool bekannten BlindingCan-Backdoor
    • LightlessCan: ein neuer RAT, der zuvor nicht öffentlich dokumentiert war
  • Die Ausführungskette besteht aus mehreren Stufen unterschiedlicher Komplexität; Dropper und Loader werden vor dem finalen RAT ausgeführt
    • Dropper enthalten eingebettete Payloads und können diese direkt aus dem Speicher laden und ausführen, auch ohne sie ins Dateisystem zu schreiben
    • Loader laden Payloads aus dem Dateisystem, ohne eingebettete verschlüsselte Arrays zu verwenden
  • Die wichtigsten Dateien folgen überwiegend einem DLL-Sideloading-Muster, bei dem legitime ausführbare Dateien bösartige DLLs laden
    • PresentationHost.exe + mscoree.dll: basiert auf einer trojanisierten NppyPluginDll und liefert NickelLoader aus
    • colorcpl.exe + colorui.dll: basiert auf LibreSSL 2.6.5 und liefert miniBlindingCan aus
    • fixmapi.exe + mapistub.dll: basiert auf Lua plugin 1.4.0.0 für Notepad++ und liefert LightlessCan aus
    • tabcal.exe + HID.dll: basiert auf MZC8051 3.2 für Notepad++ und liefert LightlessCan aus

Wichtige Merkmale von LightlessCan

  • LightlessCan scheint ein Nachfolger von Lazarus’ HTTP(S)-RAT BlindingCan zu sein; die interne Versionsnummer der aktuellen Version lautet 1.0
  • Er ist für die Unterstützung von bis zu 68 Befehlen ausgelegt; in der aktuellen Version sind Funktionen für 43 davon implementiert
    • Die übrigen Befehle existieren als Platzhalter, haben aber keine tatsächliche Funktion
    • Da die Reihenfolge der gemeinsamen Befehle weitgehend erhalten blieb, scheint er auf dem Quellcode von BlindingCan zu basieren
  • Die größte Änderung besteht darin, die Funktionen mehrerer nativer Windows-Befehle innerhalb des RAT nachzubilden
    • Beispiele implementierter Befehle sind ipconfig, net, netsh advfirewall, netstat, ping, reg, sc, tasklist, wmic process call create, nslookup, schtasks, systeminfo, arp, mkdir und weitere
    • In früheren Lazarus-Angriffen wurden solche Befehle häufig mehrfach in der Konsole ausgeführt, nachdem der Angreifer auf dem System Fuß gefasst hatte
    • Die neue Methode verarbeitet sie innerhalb des RAT, ohne die ursprünglichen Konsolen-Utilities sichtbar auszuführen, und erschwert so die Erkennung durch Echtzeit-Monitoring wie EDR sowie durch nachträgliche digitale Forensik-Tools
  • ESET hält es für wahrscheinlich, dass die LightlessCan-Entwickler Closed-Source-Binaries per Reverse Engineering analysiert haben, um zentrale Windows-Utilities nachzuahmen
    • Zwar existieren auch im Wine-Projekt Implementierungen mehrerer Programme, einige von LightlessCan nachgebildete Funktionen unterschieden sich jedoch von Wine-Implementierungen oder waren dort nicht vorhanden

Kompromittierungskette von NickelLoader

  • NickelLoader ist ein HTTP(S)-Downloader, der auf dem infizierten System ausgeführt und anschließend zur Auslieferung weiterer Lazarus-Payloads genutzt wird
  • Wenn das Opfer die Quiz-Datei manuell ausführt, startet automatisch PresentationHost.exe, und die bösartige mscoree.dll im selben Pfad C:\ProgramShared\ wird per Sideloading geladen
    • mscoree.dll ist eine trojanisierte Datei auf Basis von NppyPluginDll.dll aus dem 2011 eingestellten Projekt General Python Plugins DLL for Notepad++
    • Sie enthält die Exports der legitimen mscoree.dll und der ursprünglichen NppyPluginDll.dll; im Export CorExitProcess befindet sich bösartiger Code
  • Für die Entschlüsselung des eingebetteten verschlüsselten Arrays werden drei 16 Zeichen lange Schlüsselwörter benötigt
    • der Name des Parent-Prozesses PresentationHost
    • der im Binary hartcodierte interne Parameter 9zCnQP6o78753qg8
    • der per Befehlszeile übergebene externe Parameter ‑embeddingObject
    • Die drei Schlüsselwörter werden byteweise per XOR verknüpft, um den AES-128-Entschlüsselungsschlüssel zu erzeugen
  • NickelLoader erkennt vier Befehle mit je fünf Zeichen
    • abcde: fordert den nächsten Befehl sofort an, ohne die übliche lange Sleep-Verzögerung
    • avdrq: lädt die DLL aus dem empfangenen Buffer und führt den hartcodierten Export info aus
    • gabnc: lädt die DLL aus dem empfangenen Buffer
    • dcrqv: beendet sich selbst
  • Wegen der Fünf-Zeichen-Befehlsstruktur, die an „nickel“, die umgangssprachliche Bezeichnung für die US-Fünf-Cent-Münze, erinnert, nannte ESET diesen Payload NickelLoader

Ausführungskette von miniBlindingCan

  • Einer der von NickelLoader heruntergeladenen und ausgeführten Payloads ist miniBlindingCan
    • Es handelt sich um eine vereinfachte Version des BlindingCan-RAT, die Mandiant im September 2022 erstmals unter dem Namen AIRDRY.V2 meldete
  • Für das Laden werden die legitime colorcpl.exe und die bösartige colorui.dll verwendet, die aus C:\ProgramData\Adobe\ ausgeführt werden
    • colorui.dll ist eine bösartige 64-Bit-DLL und mit VMProtect obfuskiert
    • Sie enthält Tausende von Exports; LaunchColorCpl verarbeitet die Ausführung der nächsten Stufe
  • Der Dropper nutzt zu Beginn der Ausführung Funktionen zur Analysevermeidung
    • Er führt Anti-Debugging aus, indem er den Wert BeingDebugged in der PEB-Struktur prüft
    • Er nutzt Anti-Sandbox-Techniken, um die Erkennung in Sandbox-Umgebungen zu vermeiden
    • Er prüft ausdrücklich, ob der Parent-Prozess colorcpl.exe ist, und beendet sich andernfalls sofort
  • Zur Entschlüsselung des finalen Payloads dient eine lange Zeichenkette als XOR-Schlüssel, die aus dem Parent-Prozessnamen, dem Dropper-Dateinamen und einem externen Befehlszeilenparameter zusammengesetzt wird
    • Ein Beispiel für die resultierende Zeichenkette ist COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7
  • miniBlindingCan besitzt eine ähnliche Befehlsverarbeitungslogik wie BlindingCan, ist funktional aber stark reduziert
    • Unterstützt werden unter anderem das Senden von Systeminformationen, das Aktualisieren des Kommunikationsintervalls, das Senden und Aktualisieren der Konfiguration, das Herunterladen und Entschlüsseln von Dateien sowie das Ausführen übermittelten Shellcodes
    • Die entschlüsselte Konfiguration ist 9.392 Byte groß und enthält bis zu fünf URLs mit jeweils maximal 260 Wide Characters

Einfache Ausführungskette von LightlessCan

  • Die einfache LightlessCan-Kette verwendet die legitime fixmapi.exe und die bösartige mapistub.dll, die aus C:\ProgramData\Oracle\Java\ ausgeführt werden
  • mapistub.dll ist eine trojanisierte DLL auf Basis des Lua plugin 1.4 für Notepad++
    • Die Exports der legitimen Windows-Datei mapi32.dll wurden kopiert
    • Der Export FixMAPI ist für die Entschlüsselung und das Laden der nächsten Stufe verantwortlich
    • Andere Exports sind mit legitimem Code aus einem veröffentlichten MineSweeper-Beispielprojekt gefüllt
  • Dieser Dropper erhält Persistenz über eine geplante Aufgabe
    • ESET gibt an, dass Details zu dieser Aufgabe fehlen, der Parent-Prozess aber offenbar %WINDOWS%\system32\svchost.exe -k netsvcs -p -s Schedule war
  • Für die Entschlüsselung der eingebetteten Daten werden drei Schlüsselwörter verwendet
    • Parent-Prozessname fixmapi.exe
    • interner Parameter IP7pdINfE9uMz63n
    • externer Befehlszeilenparameter AudioEndpointBuilder
    • Die Schlüsselwörter werden byteweise XOR-verknüpft; das Ergebnis wird zum 128-Bit-AES-Schlüssel

Komplexe LightlessCan-Ausführungskette und Ausführungs-Guardrails

  • Die komplexere LightlessCan-Kette führt von einer legitimen Anwendung über einen Initial-Dropper, einen vollständigen Dropper, einen Intermediate Dropper, eine Konfigurationsdatei, eine Systeminformationsdatei und einen Intermediate Loader bis zum finalen LightlessCan-RAT
  • Der Initial-Dropper ist die bösartige HID.dll, die von der legitimen tabcal.exe per Sideloading aus C:\ProgramData\Adobe\ARM\ geladen wird
    • HID.dll ist eine trojanisierte Datei auf Basis von MZC8051.dll aus dem Projekt 8051 C compiler plugin für Notepad++
    • Der Export HidD_GetHidGuid ist für das Ablegen der nächsten Stufe verantwortlich
  • Für die erste Entschlüsselungsstufe werden drei Schlüsselwörter benötigt
    • Parent-Prozessname tabcal.exe
    • interner Parameter 9zCnQP6o78753qg8
    • der Inhalt der Datei %WINDOWS%\system32\thumbs.db, nämlich LocalServiceNetworkRestricted
    • Die drei Werte werden XOR-verknüpft, um einen 128-Bit-AES-Schlüssel zu erzeugen
  • Der erzeugte vollständige Dropper besitzt eine InternalName-Ressource namens AppResolver.dll und enthält zwei verschlüsselte Datenarrays
    • Enthalten sind ein kleines Array mit 126 Byte und ein großes Array mit 1.807.464 Byte
    • Das kleine Array wird mit RC6 und einem 256-Bit-Schlüssel entschlüsselt und ergibt die Pfade C:\windows\system32\oci.dll und C:\windows\system32\grpedit.dat
    • Das Ergebnis der Entschlüsselung des großen Arrays enthält LightlessCan, einen Intermediate Dropper und eine 14.948 Byte große verschlüsselte Konfigurationsdatei, die nach %WINDOWS%\System32\wlansvc.cpl abgelegt wird
  • Der vollständige Dropper speichert mehrere Merkmale zur Identifikation des infizierten Systems in %WINDOWS%\System32\4F59FB87DF2F
    • Die Werte stammen vor allem aus dem Registry-Pfad Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOS
    • Enthalten sind SystemBIOSDate, SystemBIOSVersion, SystemManufacturer, SystemProductName sowie der Wert Identifier unterhalb des Disk-Controller-Zweigs
    • Die verkettete Zeichenkette dieser Werte wird benötigt, um die im Dateisystem verschlüsselte grpedit.dat zu entschlüsseln
  • Diese Struktur dient als Ausführungs-Guardrail
    • Sie sorgt dafür, dass der Payload nur auf dem vorgesehenen Opferrechner entschlüsselt werden kann, und erschwert die Entschlüsselung auf anderen Geräten von Sicherheitsforschern

Erkennungsvermeidung und Auswirkungen auf die Analyse

  • LightlessCan kann die Ausführungsspuren von Windows-Kommandozeilenprogrammen, die in Post-Exploitation-Phasen häufig genutzt werden, deutlich reduzieren
    • Befehlsfunktionen werden durch interne Implementierungen ersetzt, sodass die Ausführung der ursprünglichen Konsolen-Utilities vermieden wird
    • Die in Command-History-Logging und Echtzeiterkennung beobachtbaren Spuren werden reduziert
  • In der gesamten Angriffskette werden mehrere Defense-Evasion-Techniken kombiniert
    • DLL-Sideloading
    • VMProtect-Obfuskierung
    • dynamische Windows-API-Auflösung
    • eingebettete Payloads
    • reflektive DLL-Injektion
    • Prozessinjektion
    • Debugger- und Sandbox-Evasion
    • verschlüsselte Tools und Konfigurationen im Dateisystem
  • Auch die C&C-Kommunikation ist so gestaltet, dass Analyse und Erkennung erschwert werden
    • LightlessCan und miniBlindingCan kommunizieren per HTTP/HTTPS mit dem C&C
    • Der C&C-Traffic ist mit AES-128 verschlüsselt
    • Für die Traffic-Codierung wird base64 verwendet
    • LightlessCan verfügt auch über Funktionen zur Datenexfiltration und kann Daten an den C&C-Server ausleiten

IoCs und MITRE-ATT&CK-Zusammenfassung

  • Wichtige initiale Datei-IoCs
    • C273B244EA7DFF20B1D6B1C7FD97F343201984B3: %TEMP%\7zOC35416EE\Quiz1.exe, Initial-Dropper, getarnt als „Hello World“-Challenge
    • 38736CA46D7FC9B9E5C74D192EEC26F951E45752: %TEMP%\7zOCB3CC96D\Quiz2.exe, Initial-Dropper, getarnt als Fibonacci-Folge-Challenge
    • C136DD71F45EAEF3206BF5C03412195227D15F38: C:\ProgramShared\mscoree.dll, NickelLoader-Dropper
    • E61672B23DBD03FE3B97EE469FA0895ED1F9185D: NickelLoader-HTTPS-Downloader
  • Wichtige Datei-IoCs zu LightlessCan
    • 0F33ECE7C32074520FBEA46314D7D5AB9265EC52: %ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, LightlessCan-Dropper
    • C7C6027ABDCED3093288AB75FAB907C598E0237D: von mapistub.dll abgelegter LightlessCan
    • E18B9743EC203AB49D3B57FED6DF5A99061F80E0: %ALLUSERSPROFILE%\Adobe\ARM\HID.dll, Initial-Dropper der komplexen Kette
    • 3007DDA05CA8C7DE85CD169F3773D43B1A009318: %WINDIR%\system32\grpedit.dat, in der komplexen Kette abgelegter LightlessCan
    • 247C5F59CFFBAF099203F5BA3680F82A95C51E6E: %WINDIR%\system32\oci.dll, Intermediate Dropper
  • C&C nutzt kompromittierte legitime Websites
    • bug.restoroad[.]com
    • hurricanepub[.]com
    • turnscor[.]com
    • mantis.quick.net[.]pl
    • www.radiographers[.]org
    • kapata-arkeologi.kemdikbud.go[.]id
    • barsaji.com[.]mx
    • www.keewoom.co[.]kr
    • kerstpakketten.horesca-meppel[.]nl
    • kittimasszazs[.]hu
    • nrfm[.]lk
  • Nach MITRE ATT&CK werden unter anderem Social-Media-Reconnaissance, Spearphishing-Links und -Dienste, Nutzerausführung bösartiger Dateien, geplante Aufgaben, DLL-Sideloading, Ausführungs-Guardrails, Schwächung von Command-History-Logging, Web-Protokoll-C&C, symmetrisch verschlüsselte Kanäle und Exfiltration über den C2-Kanal abgebildet

1 Kommentare

 
GN⁺ 2023-10-02
Meinungen auf Hacker News
  • Sich über eine LeetCode-Hausaufgabe einzuschleusen, ist schon clever
    Ich entwickle Apple-Software, und Xcode-Projekte können ziemlich tief ins System hineinreichen. Apple zeigt zwar eine Warnung an, wenn man ein heruntergeladenes Projekt öffnet, aber wenn man es für eine Hausaufgabe hält, ignoriert man sie fast zwangsläufig
    Auch Online-Aufgaben könnten heikle Zugriffsrechte verlangen, und solche Zielpersonen haben mit hoher Wahrscheinlichkeit recht weitreichenden Zugriff auf die Kernassets des Unternehmens. Natürlich würde niemand Unternehmensressourcen für die Jobsuche verwenden, aber wenn so etwas ziemlich häufig vorkommt, reagieren hier alle sensibel

    • Unser Unternehmen gibt Kandidaten ebenfalls Hausaufgaben, und im Interview gehen wir den Code gemeinsam durch und bitten um kleine Änderungen, um Kommunikation und technische Fähigkeiten zu beurteilen
      Ein Bewerber konnte nicht einmal die REPL seines eigenen Projekts starten und murmelte nach einigem Herumprobieren: „Hätte ich einfach den Firmenrechner benutzt.“ Dass nicht einmal die grundlegendste Ausführung auf dem privaten Rechner funktionierte, bedeutete, dass er die Aufgabe auf dem Firmenrechner gemacht hatte
    • In meinem ersten IT-Job habe ich einmal eine Bounce-Nachricht für eine Mail gesehen, die an die Recruiting-Adresse eines großen regionalen Pharmaunternehmens geschickt worden war
      Man muss berücksichtigen, dass 1996 private E-Mail-Adressen nicht so verbreitet waren wie heute, aber es war trotzdem ein Anfängerfehler. Ich halte mich schon lange an den Grundsatz, auf dem Firmencomputer keine privaten Dinge zu erledigen, aber das war keine verbreitete Haltung
    • Selbst wenn man die moralisch grauen Bereiche beiseitelässt: Ich habe im Rahmen einer Abfindungsvereinbarung einmal ganze Arbeitstage bekommen, um einen neuen Job zu suchen, und das Management hat das breit unterstützt
    • Apple hat kürzlich sandboxed Shell Scripts hinzugefügt; das wirkt wie Teil des Versuchs, Builds stärker abzuschotten
      Es ist sicher keine perfekte Lösung, aber es wäre gut, Projekte in einem Modus öffnen zu können, in dem alle Build-Schritte in einer Sandbox laufen. Wenn etwas fehlschlägt, kann man sehen, was es versucht hat
    • Wenn ich Hausaufgaben bewerte, öffne ich als Erstes die Xcode-Projektdatei in vim und suche nach verdächtigen Inhalten
      Ehrlich gesagt glaube ich nicht, dass die meisten Kollegen dieselbe Sorgfalt walten lassen
  • Ich bin jedes Mal erstaunt, wenn ich sehe, wie Leute auf aktueller Firmenhardware Hausaufgaben, Headhunter-E-Mails oder Telefonate für Interviews bei anderen Firmen erledigen
    Viele haben gesagt, dass sie das tun, aber ich verstehe es nicht. Es gibt zu viele mögliche Folgen. Ein besonders ehrgeiziger Manager hat einmal über persönliche Kontakte versucht, einen künftigen Arbeitgeber davon zu überzeugen, mich nicht einzustellen, nur weil er davon erfahren hatte
    Auch wenn es unethisch oder illegal ist: Solche Dinge passieren tatsächlich, auch bei großen Tech-Unternehmen. Die Vorstellung, Details der eigenen Jobsuche freiwillig mit dem Arbeitgeber zu teilen, fühlt sich seltsam an. Arbeit und Privatleben sollten doch wie eine Trennung von Kirche und Staat getrennt sein

    • Ich finde es ziemlich unangenehm, dass viele Kollegen überhaupt keinen privaten Computer haben und für alles nur den Firmenlaptop verwenden
      Das sind Softwareentwickler, und sie können sich problemlos einen Laptop leisten. Das Maximum, bei dem ich Dinge vermische, ist, auf dem kleinen, leichten Firmenlaptop mit Bluetooth beim Abwasch harmlose YouTube-Videos anzuschauen. Früher habe ich ihn manchmal auch zum Drucken im Büro benutzt
    • Dass man das Gerät, das man täglich benutzt, auch für neue Aufgaben weiterverwendet, verursacht fast keine Reibung; daher überrascht es mich überhaupt nicht
      Ich stimme völlig zu, dass das riskant ist und man es nicht tun sollte, aber wenn Leute nicht gründlich nachdenken oder nicht dauerhaft wachsam bleiben, kann es leicht passieren
    • Zumindest zur Selbstverteidigung kann man Interviews notfalls auch per Telefon oder Tablet führen
      Warum ein unnötiges Risiko hinzufügen? Vielleicht mögen manche ja diesen Nervenkitzel
  • Haben sie dem Opfer eine .exe-Datei geschickt, unter dem Vorwand, es müsse eine Funktion in C++ nachbauen? In dem Moment, in dem man von jemandem eine .exe-Datei bekommt, sollte das ein starkes Signal sein, dass es ein Angriff ist – oder zumindest, dass der Absender kaum zu glauben technisch inkompetent ist
    Vielleicht liegt das aber auch daran, dass ich die Windows-95-Zeit miterlebt habe. Manche Lektionen muss offenbar jede Generation neu lernen

    • Mit einem attraktiven Jobangebot reicht es, in einem Unternehmen voller Menschen ein einziges Mal erfolgreich zu sein
      Man weiß nicht, wie viele Leute bei einem seltsamen Test gesagt haben: „Dann mache ich das nicht.“ Heutzutage ist es ziemlich einfach, Anwendungen in einer Sandbox auszuführen; es nicht zu tun, ist unklug. Sandboxie ist kostenlos und funktioniert nicht immer garantiert, hätte aber erfolgreich sein können oder zumindest auffälliges Verhalten sichtbar gemacht. Windows Pro hatte eine Zeit lang auch eine Rechtsklick-Menüoption, um ausführbare Dateien in einer Sandbox auszuführen
      Beim Titel dachte ich zunächst, es gehe um eine Infektion über die IDE. Fragen wie „Vertrauen Sie dem Autor dieses Projekts?“ gibt es aus gutem Grund, und bei VS Code kann man über Git-Konfigurations-Tricks sogar Code ausführen, bevor der Prompt erscheint
      Bei der Ausführung eines Programms wäre ich vorsichtig, aber wenn ein Recruiter mir eine Coding-Aufgabe in Form eines unfertigen Projekts in einem Git-Repository schickt, würde ich wahrscheinlich auf „Codeausführung erlauben“ klicken. Besonders, wenn man im Remote-Interview live auf den Code schaut und sagt, man wolle „sehen, wie ich an das Problem herangehe“. Dieser Angriff ist sehr simpel, aber es ist nicht schwer, die Erstinfektion so zu gestalten, dass sie nicht rechtzeitig erkannt wird
    • Anfangs dachte ich, das sei ein viel clevererer Angriff, als er tatsächlich war
      Jemanden dazu zu bringen, eine heruntergeladene oder angehängte ausführbare Datei zu starten, ist simpel, aber offenbar weiterhin effektiv. Eine bösartigere und effektivere Methode wäre, auf ein GitHub-Repository mit dem „Aufgaben“-Projekt zu verweisen und das Opfer beim Testen seiner Lösung auf ein kompromittiertes Paket zugreifen zu lassen, das tut, was der Angreifer will
    • Wenn ich sehe, was sie vorhatten, denke ich fast, ich wünschte, sie hätten versucht, mich hereinzulegen
      Ich weiß, dass das keine gewöhnlichen Script Kiddies sind, aber ich wäre neugierig, wie sie reagieren, wenn man einen Gegenangriff versucht. Wenn sie mir eine .exe geben und sagen, ich solle sie ausführen, würde ich sie nicht starten, sondern in einem Hex-Editor öffnen und untersuchen. Wenn eine Datei, die angeblich „hello world“ oder ein Fibonacci-Generator ist, viel größer als erwartet ist oder Daten enthält, die verschlüsselt aussehen, oder Versuche zur Verschleierung, würde ich sie nicht ausführen
    • Früher habe ich einmal vorgeschlagen, als Teil einer Black-Box-Aufgabe ein Binary auszugeben
      Wenn man den Source sperrt und Details pro Kandidat ändert, helfen online veröffentlichte Lösungen nicht weiter
    • Vermutlich war es keine .exe, sondern ein .msi-Installer oder eine ZIP-Datei
  • Bei der Beratung für Regierungsprogramme habe ich meinen Lebenslauf bewusst nicht ins Internet gestellt.
    Ich hatte keinen Zugriff, der für Spione interessant gewesen wäre, aber anhand einiger Keywords hätte es so aussehen können. So wie Recruiter, die auf LinkedIn alle zuspammen, die bei einer Keyword-Suche auftauchen.
    Mir war klar, dass jeder Sicherheitsvorfall gemeldet werden muss, und ich ging davon aus, dass Verträge und Einkommen ausbleiben könnten, während eine vorsichtige Bürokratie den Vorfall bearbeitet. Also entfernte ich meinen Online-Lebenslauf und traf auch Maßnahmen, damit kein zufälliger Dieb aus Versehen meinen Arbeitslaptop stiehlt.
    Inzwischen bin ich nicht mehr in diesem Job und genieße wie alle anderen auf LinkedIn Recruiting-Spam für Stellen wie Junior Python Leetcode Hazing Engineer.

    • Ich weiß nicht, warum das Downvotes bekommt.
      In bestimmten Rollen oder Branchen kann es eine ganz normale Sicherheitsmaßnahme gegen gezielte Angriffe sein, den Beschäftigungsstatus nicht öffentlich zu machen. In der realen Welt würden CIA-Agenten im Ausland ja auch nicht mit Visitenkarten herumlaufen, auf denen ein CIA-Stempel prangt.
    • Das wirkt übertrieben.
      Ich möchte ebenfalls, dass bestimmte Leute nicht wissen, wo ich arbeite, aber einen alten Lebenslauf online zu lassen, in dem der aktuelle Arbeitgeber nicht erwähnt wird, halte ich für okay. Ich habe auch die HR-Leitung gebeten, dafür zu sorgen, dass mein Name niemals auf einer öffentlichen „Unser Team“-Seite erscheint.
      Als Nebeneffekt muss ich jedes Mal lachen, wenn in verpflichtenden Unternehmens-Sicherheitsschulungen Vorgehensweisen gegen gezielte Angriffe und Beispiele für Phishing-Mails gezeigt werden. Bisher habe ich, abgesehen von Tests durch Pentest-Firmen, keine einzige Spear-Phishing-Mail bekommen.
  • Welcher Idiot erledigt denn private Dinge auf Firmengeräten?
    Ich rede nicht von armen Leuten, sondern von Leuten, die genug Geld haben, sich eigene private Geräte zu kaufen.

    • Ich mache ständig private Dinge auf dem Firmenlaptop.
      Mein privater Computer ist eine Art Heizgerät, das auch Videospiele ausführen kann, deshalb nutze ich ihn nicht standardmäßig. Ich könnte mir ein drittes Gerät leisten, aber mit dem Geld kann ich Besseres anfangen.
      Natürlich versuche ich, die Sicherheitsregeln des Unternehmens einzuhalten. Ich vertraue dem Unternehmen. Ich möchte nicht für ein Unternehmen arbeiten, dem ich meine Browser-Cookies nicht anvertrauen kann. In meiner Rechtsordnung ist auch das Gesetz auf meiner Seite. Man kann mich nicht einfach entlassen, nur weil ich auf dem Firmenlaptop etwas getan habe, das der Firma nicht gefällt; dafür braucht es einen sehr guten Grund.
    • Mein Mitbewohner wollte kein Geld für einen privaten Laptop ausgeben und hat seinen Arbeitslaptop zwei Jahre lang wie einen privaten Laptop benutzt.
      Als ich studentischer Praktikant und deutlich ärmer war, habe ich dasselbe auch gemacht.
    • Ich erledige private Dinge auf Firmenhardware, aber nichts wirklich Privates.
      Ich logge mich nicht ein und schaue einfach gern Filme auf dem Arbeitslaptop.
    • Das dürfte genau der Idiot sein, der Quiz1.exe ausführt, das irgendein Fremder im Internet geschickt hat.
    • Vielleicht musste er das.
      In diesem Fall arbeitete das Opfer bei einem Luft- und Raumfahrtunternehmen. Ich kenne ein paar Leute aus der Branche, und sie arbeiten alle absurd lange. Außerdem war es ein spanisches Unternehmen, also galten Arbeitstage von mehr als 10 Stunden möglicherweise als selbstverständlich.
  • Etwas anderes Thema, aber wenn Menschen in Nordkorea kaum Internetzugang haben, bis sie Regierungsangestellte werden, frage ich mich, wie Lazarus/HIDDEN COBRA so ausgefeilte staatlich unterstützte Angreifer werden kann.
    Ohne Zugang zu moderner Sicherheitsforschung, Open-Source-Projekten, Programmiermaterialien und real verbreiteter Malware dürfte es schwierig sein, eine Generation hervorragender Hacker heranzuziehen. Vielleicht greifen sie ja Leute auf, die Firewalls umgehen, und bieten ihnen Jobs in der Einheit an.

    • Woher weiß man, dass sie diese Dinge nicht bekommen können?
      Außerdem frage ich mich, wie du dir Hacker-Ausbildung vorstellst. Es reicht nicht, ihnen beizubringen, mit einem React-Nightly-Build eine To-do-App zu bauen. Wahrscheinlich kennen sie Ethernet und den TCP/IP-Stack besser auswendig als die Leute, die sie entwickelt haben, und können das auch rückwärts aufsagen; allein das reicht schon, um vieles zu hacken.
    • Ich glaube, ich habe in einer Mitteilung einer niederländischen Cybersicherheitsbehörde gehört, dass Hacker im Inland ausgebildet und dann nach China geschickt werden, wo sie natürlich unter strenger Überwachung in Internetcafés arbeiten.
    • Vielleicht gibt es ein Förderprogramm für Hochbegabte, das technisch talentierten Siebenjährigen sämtliche Zugriffsrechte gibt und sie zu Hackern ausbildet.
    • Es heißt, dass die besten Talente schon früh in der Schule ausgewählt und intensiv ausgebildet werden.
      In einem Land, in dem vieles knapp ist, etwa Nahrung und Strom, ist das ein sehr begehrter Beruf. Wer mehr wissen will, kann den Podcast Lazarus Heist hören.
    • Wahrscheinlich ist es richtiger, davon auszugehen, dass sie von China aus operieren.
  • Bei uns in der Region haben von 300 Personalvermittlungsfirmen nur 23 tatsächlich eine Lizenz, legal als Dienstleister zu arbeiten, daher überrascht mich das nicht.
    Verifizieren zu wollen, welche davon echt und welche gefälscht sind, ist ein Faden, an dem die meisten Unternehmen und Bewerber lieber nicht ziehen möchten.
    Es gibt auch Betrug mit gefälschten Stellenangeboten. Dabei werden Mitarbeiter mit attraktiven Vergütungspaketen abgeworben, ein Wettbewerber schöpft Daten ab und setzt sie dann vor Ende der Probezeit, meist innerhalb von 6 bis 10 Monaten, wieder vor die Tür. Mehrere böswillige Akteure verbreiten mit überzogenen Versprechen auch infizierte PDFs.
    Man muss vorsichtig sein, und 86Box unterstützt wie Bochs/kvm schreibgeschützte Backing-Images und Sessions: https://github.com/86Box/86Box/releases
    Es läuft auch auf Apple-M1-Laptops, ist aber langsam.

  • Solche schlimmen Dinge passieren wirklich.
    2019 wurde mein Laptop über das von der Zentrale bereitgestellte kostenlose Wi-Fi gehackt, und ich musste alle SSH-Keys austauschen.

    • Ich frage mich, was „über das kostenlose Wi-Fi der Zentrale gehackt“ konkret bedeuten soll.
  • „Zwei schädliche ausführbare Dateien … die erste ist ein Hello-World-Projekt … die zweite gibt die Fibonacci-Folge bis zum größten Element aus, das kleiner als die Eingabe ist“ – das hätte das erste Warnsignal sein müssen, dass hier etwas nicht stimmt.
    Bei Meta hätte man mit LeetCode medium oder hard angefangen.

  • Die Sicherheit dieser Website ist fantastisch.
    Sie haben verhindert, dass man beim Scrollen durch den Seiteninhalt die Pfeiltasten verwenden kann. Das liegt eindeutig an einem unbekannten Angriffsvektor über die Tastatur. Großartig.