Gefälschte Recruiter locken Aerospace-Mitarbeiter mit bösartigen Coding-Challenges
(welivesecurity.com)- Mitarbeiter eines spanischen Luft- und Raumfahrtunternehmens wurden auf LinkedIn von Lazarus kontaktiert, das sich als Meta-Recruiter ausgab; die erste Kompromittierung erfolgte, als sie Dateien, die wie ein Einstellungstest wirkten, auf Unternehmensgeräten ausführten
- Die bösartigen Aufgaben wurden als
Quiz1.exeundQuiz2.exeausgeliefert; nach der Ausgabe von „Hello, World!“ beziehungsweise der Fibonacci-Folge wurde die Installation zusätzlicher Payloads aus einem ISO-Image ausgelöst - Nach der Kompromittierung wurden per DLL-Sideloading NickelLoader, miniBlindingCan und der neue RAT LightlessCan verteilt; ESET ordnet die Aktivität mit hoher Sicherheit Lazarus im Zusammenhang mit Operation DreamJob zu
- LightlessCan scheint ein Nachfolger von BlindingCan zu sein und bildet Windows-Befehle wie
ipconfig,net,ping,systeminfoundscinnerhalb des RAT nach, um Spuren von Konsolenausführungen zu reduzieren - Ziel des Angriffs war Cyber-Spionage; durch die eingebauten Befehle und Ausführungs-Guardrails, die eine Entschlüsselung nur auf dem Opfergerät erlauben, werden Echtzeiterkennung und nachträgliche forensische Analyse erschwert
Erste Kompromittierung über LinkedIn-Recruiting-Köder
- Lazarus kontaktierte mehrere Mitarbeiter eines spanischen Luft- und Raumfahrtunternehmens über LinkedIn Messaging
- Der Angreifer gab sich als Recruiter von Meta aus, der Muttergesellschaft von Facebook, Instagram und WhatsApp
- Als Teil des Bewerbungsprozesses wurde verlangt, C++-Programmierkenntnisse nachzuweisen
- Das Opfer lud
Quiz1.isoundQuiz2.isoaus einem Cloud-Speicher eines Drittanbieters herunter und führte die darin enthaltenen ausführbaren Dateien auf einem Unternehmensgerät ausQuiz1.exe: als einfache Aufgabe getarnt, die „Hello, World!“ ausgibtQuiz2.exe: als Aufgabe getarnt, die die Fibonacci-Folge bis zum größten Element ausgibt, das kleiner als der Eingabewert ist- Beide ausführbaren Dateien verarbeiteten Ein- und Ausgabe wie normale Konsolenanwendungen und starteten anschließend die Installation zusätzlicher bösartiger Payloads
- Der erste Payload ist ein HTTP(S)-Downloader, den ESET NickelLoader nennt
- NickelLoader kann vom Angreifer gewünschte Programme im Speicher des Opferrechners bereitstellen
Zuordnung zu Lazarus und Operation DreamJob
- ESET ordnet den Angriff in Spanien mit hoher Sicherheit Lazarus zu, insbesondere Aktivitäten im Zusammenhang mit Operation DreamJob
- Malware, Infrastruktur und Ziele überschneiden sich mit früheren Lazarus-Kampagnen
- Die Methode, nach einer Kontaktaufnahme über LinkedIn zur Ausführung bösartiger Dateien zu verleiten, die als Einstellungstest getarnt sind, ist eine Taktik, die Lazarus seit Operation DreamJob nutzt
- Beobachtet wurden ein Intermediate Loader sowie neue Varianten der Backdoor-Familie BlindingCan, die bereits im niederländischen Fall von 2022 identifiziert wurden
- In den Tools kamen AES-128 und RC6-Verschlüsselung mit 256-Bit-Schlüssel zum Einsatz, ein Verfahren, das auch in Kampagnen mit Amazon-Thema verwendet wurde
- Statt eigene C&C-Server der ersten Stufe direkt aufzubauen, kompromittierten und nutzten die Angreifer bestehende Websites mit schwacher Sicherheit oder mangelhafter Wartung
- Der Diebstahl von Know-how aus Luft- und Raumfahrtunternehmen passt zu den langfristigen Zielen von Lazarus
- UN-Berichte behandeln Angriffe nordkoreanisch verbundener APT-Gruppen auf Luft- und Raumfahrtunternehmen, um Zugang zu sensibler Technologie und Aerospace-Wissen zu erlangen
Tooling nach der Kompromittierung
- Nach der Ausführung von NickelLoader verteilte der Angreifer zwei Arten von RATs auf dem Opfersystem
- miniBlindingCan: eine funktionsreduzierte Variante der als Lazarus-Tool bekannten BlindingCan-Backdoor
- LightlessCan: ein neuer RAT, der zuvor nicht öffentlich dokumentiert war
- Die Ausführungskette besteht aus mehreren Stufen unterschiedlicher Komplexität; Dropper und Loader werden vor dem finalen RAT ausgeführt
- Dropper enthalten eingebettete Payloads und können diese direkt aus dem Speicher laden und ausführen, auch ohne sie ins Dateisystem zu schreiben
- Loader laden Payloads aus dem Dateisystem, ohne eingebettete verschlüsselte Arrays zu verwenden
- Die wichtigsten Dateien folgen überwiegend einem DLL-Sideloading-Muster, bei dem legitime ausführbare Dateien bösartige DLLs laden
PresentationHost.exe+mscoree.dll: basiert auf einer trojanisierten NppyPluginDll und liefert NickelLoader auscolorcpl.exe+colorui.dll: basiert auf LibreSSL 2.6.5 und liefert miniBlindingCan ausfixmapi.exe+mapistub.dll: basiert auf Lua plugin 1.4.0.0 für Notepad++ und liefert LightlessCan austabcal.exe+HID.dll: basiert auf MZC8051 3.2 für Notepad++ und liefert LightlessCan aus
Wichtige Merkmale von LightlessCan
- LightlessCan scheint ein Nachfolger von Lazarus’ HTTP(S)-RAT BlindingCan zu sein; die interne Versionsnummer der aktuellen Version lautet
1.0 - Er ist für die Unterstützung von bis zu 68 Befehlen ausgelegt; in der aktuellen Version sind Funktionen für 43 davon implementiert
- Die übrigen Befehle existieren als Platzhalter, haben aber keine tatsächliche Funktion
- Da die Reihenfolge der gemeinsamen Befehle weitgehend erhalten blieb, scheint er auf dem Quellcode von BlindingCan zu basieren
- Die größte Änderung besteht darin, die Funktionen mehrerer nativer Windows-Befehle innerhalb des RAT nachzubilden
- Beispiele implementierter Befehle sind
ipconfig,net,netsh advfirewall,netstat,ping,reg,sc,tasklist,wmic process call create,nslookup,schtasks,systeminfo,arp,mkdirund weitere - In früheren Lazarus-Angriffen wurden solche Befehle häufig mehrfach in der Konsole ausgeführt, nachdem der Angreifer auf dem System Fuß gefasst hatte
- Die neue Methode verarbeitet sie innerhalb des RAT, ohne die ursprünglichen Konsolen-Utilities sichtbar auszuführen, und erschwert so die Erkennung durch Echtzeit-Monitoring wie EDR sowie durch nachträgliche digitale Forensik-Tools
- Beispiele implementierter Befehle sind
- ESET hält es für wahrscheinlich, dass die LightlessCan-Entwickler Closed-Source-Binaries per Reverse Engineering analysiert haben, um zentrale Windows-Utilities nachzuahmen
- Zwar existieren auch im Wine-Projekt Implementierungen mehrerer Programme, einige von LightlessCan nachgebildete Funktionen unterschieden sich jedoch von Wine-Implementierungen oder waren dort nicht vorhanden
Kompromittierungskette von NickelLoader
- NickelLoader ist ein HTTP(S)-Downloader, der auf dem infizierten System ausgeführt und anschließend zur Auslieferung weiterer Lazarus-Payloads genutzt wird
- Wenn das Opfer die Quiz-Datei manuell ausführt, startet automatisch
PresentationHost.exe, und die bösartigemscoree.dllim selben PfadC:\ProgramShared\wird per Sideloading geladenmscoree.dllist eine trojanisierte Datei auf Basis vonNppyPluginDll.dllaus dem 2011 eingestellten Projekt General Python Plugins DLL for Notepad++- Sie enthält die Exports der legitimen
mscoree.dllund der ursprünglichenNppyPluginDll.dll; im ExportCorExitProcessbefindet sich bösartiger Code
- Für die Entschlüsselung des eingebetteten verschlüsselten Arrays werden drei 16 Zeichen lange Schlüsselwörter benötigt
- der Name des Parent-Prozesses
PresentationHost - der im Binary hartcodierte interne Parameter
9zCnQP6o78753qg8 - der per Befehlszeile übergebene externe Parameter
‑embeddingObject - Die drei Schlüsselwörter werden byteweise per XOR verknüpft, um den AES-128-Entschlüsselungsschlüssel zu erzeugen
- der Name des Parent-Prozesses
- NickelLoader erkennt vier Befehle mit je fünf Zeichen
abcde: fordert den nächsten Befehl sofort an, ohne die übliche lange Sleep-Verzögerungavdrq: lädt die DLL aus dem empfangenen Buffer und führt den hartcodierten Exportinfoausgabnc: lädt die DLL aus dem empfangenen Bufferdcrqv: beendet sich selbst
- Wegen der Fünf-Zeichen-Befehlsstruktur, die an „nickel“, die umgangssprachliche Bezeichnung für die US-Fünf-Cent-Münze, erinnert, nannte ESET diesen Payload NickelLoader
Ausführungskette von miniBlindingCan
- Einer der von NickelLoader heruntergeladenen und ausgeführten Payloads ist miniBlindingCan
- Es handelt sich um eine vereinfachte Version des BlindingCan-RAT, die Mandiant im September 2022 erstmals unter dem Namen AIRDRY.V2 meldete
- Für das Laden werden die legitime
colorcpl.exeund die bösartigecolorui.dllverwendet, die ausC:\ProgramData\Adobe\ausgeführt werdencolorui.dllist eine bösartige 64-Bit-DLL und mit VMProtect obfuskiert- Sie enthält Tausende von Exports;
LaunchColorCplverarbeitet die Ausführung der nächsten Stufe
- Der Dropper nutzt zu Beginn der Ausführung Funktionen zur Analysevermeidung
- Er führt Anti-Debugging aus, indem er den Wert
BeingDebuggedin der PEB-Struktur prüft - Er nutzt Anti-Sandbox-Techniken, um die Erkennung in Sandbox-Umgebungen zu vermeiden
- Er prüft ausdrücklich, ob der Parent-Prozess
colorcpl.exeist, und beendet sich andernfalls sofort
- Er führt Anti-Debugging aus, indem er den Wert
- Zur Entschlüsselung des finalen Payloads dient eine lange Zeichenkette als XOR-Schlüssel, die aus dem Parent-Prozessnamen, dem Dropper-Dateinamen und einem externen Befehlszeilenparameter zusammengesetzt wird
- Ein Beispiel für die resultierende Zeichenkette ist
COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7
- Ein Beispiel für die resultierende Zeichenkette ist
- miniBlindingCan besitzt eine ähnliche Befehlsverarbeitungslogik wie BlindingCan, ist funktional aber stark reduziert
- Unterstützt werden unter anderem das Senden von Systeminformationen, das Aktualisieren des Kommunikationsintervalls, das Senden und Aktualisieren der Konfiguration, das Herunterladen und Entschlüsseln von Dateien sowie das Ausführen übermittelten Shellcodes
- Die entschlüsselte Konfiguration ist 9.392 Byte groß und enthält bis zu fünf URLs mit jeweils maximal 260 Wide Characters
Einfache Ausführungskette von LightlessCan
- Die einfache LightlessCan-Kette verwendet die legitime
fixmapi.exeund die bösartigemapistub.dll, die ausC:\ProgramData\Oracle\Java\ausgeführt werden mapistub.dllist eine trojanisierte DLL auf Basis des Lua plugin 1.4 für Notepad++- Die Exports der legitimen Windows-Datei
mapi32.dllwurden kopiert - Der Export
FixMAPIist für die Entschlüsselung und das Laden der nächsten Stufe verantwortlich - Andere Exports sind mit legitimem Code aus einem veröffentlichten MineSweeper-Beispielprojekt gefüllt
- Die Exports der legitimen Windows-Datei
- Dieser Dropper erhält Persistenz über eine geplante Aufgabe
- ESET gibt an, dass Details zu dieser Aufgabe fehlen, der Parent-Prozess aber offenbar
%WINDOWS%\system32\svchost.exe -k netsvcs -p -s Schedulewar
- ESET gibt an, dass Details zu dieser Aufgabe fehlen, der Parent-Prozess aber offenbar
- Für die Entschlüsselung der eingebetteten Daten werden drei Schlüsselwörter verwendet
- Parent-Prozessname
fixmapi.exe - interner Parameter
IP7pdINfE9uMz63n - externer Befehlszeilenparameter
AudioEndpointBuilder - Die Schlüsselwörter werden byteweise XOR-verknüpft; das Ergebnis wird zum 128-Bit-AES-Schlüssel
- Parent-Prozessname
Komplexe LightlessCan-Ausführungskette und Ausführungs-Guardrails
- Die komplexere LightlessCan-Kette führt von einer legitimen Anwendung über einen Initial-Dropper, einen vollständigen Dropper, einen Intermediate Dropper, eine Konfigurationsdatei, eine Systeminformationsdatei und einen Intermediate Loader bis zum finalen LightlessCan-RAT
- Der Initial-Dropper ist die bösartige
HID.dll, die von der legitimentabcal.exeper Sideloading ausC:\ProgramData\Adobe\ARM\geladen wirdHID.dllist eine trojanisierte Datei auf Basis vonMZC8051.dllaus dem Projekt 8051 C compiler plugin für Notepad++- Der Export
HidD_GetHidGuidist für das Ablegen der nächsten Stufe verantwortlich
- Für die erste Entschlüsselungsstufe werden drei Schlüsselwörter benötigt
- Parent-Prozessname
tabcal.exe - interner Parameter
9zCnQP6o78753qg8 - der Inhalt der Datei
%WINDOWS%\system32\thumbs.db, nämlichLocalServiceNetworkRestricted - Die drei Werte werden XOR-verknüpft, um einen 128-Bit-AES-Schlüssel zu erzeugen
- Parent-Prozessname
- Der erzeugte vollständige Dropper besitzt eine InternalName-Ressource namens
AppResolver.dllund enthält zwei verschlüsselte Datenarrays- Enthalten sind ein kleines Array mit 126 Byte und ein großes Array mit 1.807.464 Byte
- Das kleine Array wird mit RC6 und einem 256-Bit-Schlüssel entschlüsselt und ergibt die Pfade
C:\windows\system32\oci.dllundC:\windows\system32\grpedit.dat - Das Ergebnis der Entschlüsselung des großen Arrays enthält LightlessCan, einen Intermediate Dropper und eine 14.948 Byte große verschlüsselte Konfigurationsdatei, die nach
%WINDOWS%\System32\wlansvc.cplabgelegt wird
- Der vollständige Dropper speichert mehrere Merkmale zur Identifikation des infizierten Systems in
%WINDOWS%\System32\4F59FB87DF2F- Die Werte stammen vor allem aus dem Registry-Pfad
Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOS - Enthalten sind
SystemBIOSDate,SystemBIOSVersion,SystemManufacturer,SystemProductNamesowie der WertIdentifierunterhalb des Disk-Controller-Zweigs - Die verkettete Zeichenkette dieser Werte wird benötigt, um die im Dateisystem verschlüsselte
grpedit.datzu entschlüsseln
- Die Werte stammen vor allem aus dem Registry-Pfad
- Diese Struktur dient als Ausführungs-Guardrail
- Sie sorgt dafür, dass der Payload nur auf dem vorgesehenen Opferrechner entschlüsselt werden kann, und erschwert die Entschlüsselung auf anderen Geräten von Sicherheitsforschern
Erkennungsvermeidung und Auswirkungen auf die Analyse
- LightlessCan kann die Ausführungsspuren von Windows-Kommandozeilenprogrammen, die in Post-Exploitation-Phasen häufig genutzt werden, deutlich reduzieren
- Befehlsfunktionen werden durch interne Implementierungen ersetzt, sodass die Ausführung der ursprünglichen Konsolen-Utilities vermieden wird
- Die in Command-History-Logging und Echtzeiterkennung beobachtbaren Spuren werden reduziert
- In der gesamten Angriffskette werden mehrere Defense-Evasion-Techniken kombiniert
- DLL-Sideloading
- VMProtect-Obfuskierung
- dynamische Windows-API-Auflösung
- eingebettete Payloads
- reflektive DLL-Injektion
- Prozessinjektion
- Debugger- und Sandbox-Evasion
- verschlüsselte Tools und Konfigurationen im Dateisystem
- Auch die C&C-Kommunikation ist so gestaltet, dass Analyse und Erkennung erschwert werden
- LightlessCan und miniBlindingCan kommunizieren per HTTP/HTTPS mit dem C&C
- Der C&C-Traffic ist mit AES-128 verschlüsselt
- Für die Traffic-Codierung wird base64 verwendet
- LightlessCan verfügt auch über Funktionen zur Datenexfiltration und kann Daten an den C&C-Server ausleiten
IoCs und MITRE-ATT&CK-Zusammenfassung
- Wichtige initiale Datei-IoCs
C273B244EA7DFF20B1D6B1C7FD97F343201984B3:%TEMP%\7zOC35416EE\Quiz1.exe, Initial-Dropper, getarnt als „Hello World“-Challenge38736CA46D7FC9B9E5C74D192EEC26F951E45752:%TEMP%\7zOCB3CC96D\Quiz2.exe, Initial-Dropper, getarnt als Fibonacci-Folge-ChallengeC136DD71F45EAEF3206BF5C03412195227D15F38:C:\ProgramShared\mscoree.dll, NickelLoader-DropperE61672B23DBD03FE3B97EE469FA0895ED1F9185D: NickelLoader-HTTPS-Downloader
- Wichtige Datei-IoCs zu LightlessCan
0F33ECE7C32074520FBEA46314D7D5AB9265EC52:%ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, LightlessCan-DropperC7C6027ABDCED3093288AB75FAB907C598E0237D: vonmapistub.dllabgelegter LightlessCanE18B9743EC203AB49D3B57FED6DF5A99061F80E0:%ALLUSERSPROFILE%\Adobe\ARM\HID.dll, Initial-Dropper der komplexen Kette3007DDA05CA8C7DE85CD169F3773D43B1A009318:%WINDIR%\system32\grpedit.dat, in der komplexen Kette abgelegter LightlessCan247C5F59CFFBAF099203F5BA3680F82A95C51E6E:%WINDIR%\system32\oci.dll, Intermediate Dropper
- C&C nutzt kompromittierte legitime Websites
bug.restoroad[.]comhurricanepub[.]comturnscor[.]commantis.quick.net[.]plwww.radiographers[.]orgkapata-arkeologi.kemdikbud.go[.]idbarsaji.com[.]mxwww.keewoom.co[.]krkerstpakketten.horesca-meppel[.]nlkittimasszazs[.]hunrfm[.]lk
- Nach MITRE ATT&CK werden unter anderem Social-Media-Reconnaissance, Spearphishing-Links und -Dienste, Nutzerausführung bösartiger Dateien, geplante Aufgaben, DLL-Sideloading, Ausführungs-Guardrails, Schwächung von Command-History-Logging, Web-Protokoll-C&C, symmetrisch verschlüsselte Kanäle und Exfiltration über den C2-Kanal abgebildet
1 Kommentare
Meinungen auf Hacker News
Sich über eine LeetCode-Hausaufgabe einzuschleusen, ist schon clever
Ich entwickle Apple-Software, und Xcode-Projekte können ziemlich tief ins System hineinreichen. Apple zeigt zwar eine Warnung an, wenn man ein heruntergeladenes Projekt öffnet, aber wenn man es für eine Hausaufgabe hält, ignoriert man sie fast zwangsläufig
Auch Online-Aufgaben könnten heikle Zugriffsrechte verlangen, und solche Zielpersonen haben mit hoher Wahrscheinlichkeit recht weitreichenden Zugriff auf die Kernassets des Unternehmens. Natürlich würde niemand Unternehmensressourcen für die Jobsuche verwenden, aber wenn so etwas ziemlich häufig vorkommt, reagieren hier alle sensibel
Ein Bewerber konnte nicht einmal die REPL seines eigenen Projekts starten und murmelte nach einigem Herumprobieren: „Hätte ich einfach den Firmenrechner benutzt.“ Dass nicht einmal die grundlegendste Ausführung auf dem privaten Rechner funktionierte, bedeutete, dass er die Aufgabe auf dem Firmenrechner gemacht hatte
Man muss berücksichtigen, dass 1996 private E-Mail-Adressen nicht so verbreitet waren wie heute, aber es war trotzdem ein Anfängerfehler. Ich halte mich schon lange an den Grundsatz, auf dem Firmencomputer keine privaten Dinge zu erledigen, aber das war keine verbreitete Haltung
Es ist sicher keine perfekte Lösung, aber es wäre gut, Projekte in einem Modus öffnen zu können, in dem alle Build-Schritte in einer Sandbox laufen. Wenn etwas fehlschlägt, kann man sehen, was es versucht hat
Ehrlich gesagt glaube ich nicht, dass die meisten Kollegen dieselbe Sorgfalt walten lassen
Ich bin jedes Mal erstaunt, wenn ich sehe, wie Leute auf aktueller Firmenhardware Hausaufgaben, Headhunter-E-Mails oder Telefonate für Interviews bei anderen Firmen erledigen
Viele haben gesagt, dass sie das tun, aber ich verstehe es nicht. Es gibt zu viele mögliche Folgen. Ein besonders ehrgeiziger Manager hat einmal über persönliche Kontakte versucht, einen künftigen Arbeitgeber davon zu überzeugen, mich nicht einzustellen, nur weil er davon erfahren hatte
Auch wenn es unethisch oder illegal ist: Solche Dinge passieren tatsächlich, auch bei großen Tech-Unternehmen. Die Vorstellung, Details der eigenen Jobsuche freiwillig mit dem Arbeitgeber zu teilen, fühlt sich seltsam an. Arbeit und Privatleben sollten doch wie eine Trennung von Kirche und Staat getrennt sein
Das sind Softwareentwickler, und sie können sich problemlos einen Laptop leisten. Das Maximum, bei dem ich Dinge vermische, ist, auf dem kleinen, leichten Firmenlaptop mit Bluetooth beim Abwasch harmlose YouTube-Videos anzuschauen. Früher habe ich ihn manchmal auch zum Drucken im Büro benutzt
Ich stimme völlig zu, dass das riskant ist und man es nicht tun sollte, aber wenn Leute nicht gründlich nachdenken oder nicht dauerhaft wachsam bleiben, kann es leicht passieren
Warum ein unnötiges Risiko hinzufügen? Vielleicht mögen manche ja diesen Nervenkitzel
Haben sie dem Opfer eine .exe-Datei geschickt, unter dem Vorwand, es müsse eine Funktion in C++ nachbauen? In dem Moment, in dem man von jemandem eine .exe-Datei bekommt, sollte das ein starkes Signal sein, dass es ein Angriff ist – oder zumindest, dass der Absender kaum zu glauben technisch inkompetent ist
Vielleicht liegt das aber auch daran, dass ich die Windows-95-Zeit miterlebt habe. Manche Lektionen muss offenbar jede Generation neu lernen
Man weiß nicht, wie viele Leute bei einem seltsamen Test gesagt haben: „Dann mache ich das nicht.“ Heutzutage ist es ziemlich einfach, Anwendungen in einer Sandbox auszuführen; es nicht zu tun, ist unklug. Sandboxie ist kostenlos und funktioniert nicht immer garantiert, hätte aber erfolgreich sein können oder zumindest auffälliges Verhalten sichtbar gemacht. Windows Pro hatte eine Zeit lang auch eine Rechtsklick-Menüoption, um ausführbare Dateien in einer Sandbox auszuführen
Beim Titel dachte ich zunächst, es gehe um eine Infektion über die IDE. Fragen wie „Vertrauen Sie dem Autor dieses Projekts?“ gibt es aus gutem Grund, und bei VS Code kann man über Git-Konfigurations-Tricks sogar Code ausführen, bevor der Prompt erscheint
Bei der Ausführung eines Programms wäre ich vorsichtig, aber wenn ein Recruiter mir eine Coding-Aufgabe in Form eines unfertigen Projekts in einem Git-Repository schickt, würde ich wahrscheinlich auf „Codeausführung erlauben“ klicken. Besonders, wenn man im Remote-Interview live auf den Code schaut und sagt, man wolle „sehen, wie ich an das Problem herangehe“. Dieser Angriff ist sehr simpel, aber es ist nicht schwer, die Erstinfektion so zu gestalten, dass sie nicht rechtzeitig erkannt wird
Jemanden dazu zu bringen, eine heruntergeladene oder angehängte ausführbare Datei zu starten, ist simpel, aber offenbar weiterhin effektiv. Eine bösartigere und effektivere Methode wäre, auf ein GitHub-Repository mit dem „Aufgaben“-Projekt zu verweisen und das Opfer beim Testen seiner Lösung auf ein kompromittiertes Paket zugreifen zu lassen, das tut, was der Angreifer will
Ich weiß, dass das keine gewöhnlichen Script Kiddies sind, aber ich wäre neugierig, wie sie reagieren, wenn man einen Gegenangriff versucht. Wenn sie mir eine .exe geben und sagen, ich solle sie ausführen, würde ich sie nicht starten, sondern in einem Hex-Editor öffnen und untersuchen. Wenn eine Datei, die angeblich „hello world“ oder ein Fibonacci-Generator ist, viel größer als erwartet ist oder Daten enthält, die verschlüsselt aussehen, oder Versuche zur Verschleierung, würde ich sie nicht ausführen
Wenn man den Source sperrt und Details pro Kandidat ändert, helfen online veröffentlichte Lösungen nicht weiter
Bei der Beratung für Regierungsprogramme habe ich meinen Lebenslauf bewusst nicht ins Internet gestellt.
Ich hatte keinen Zugriff, der für Spione interessant gewesen wäre, aber anhand einiger Keywords hätte es so aussehen können. So wie Recruiter, die auf LinkedIn alle zuspammen, die bei einer Keyword-Suche auftauchen.
Mir war klar, dass jeder Sicherheitsvorfall gemeldet werden muss, und ich ging davon aus, dass Verträge und Einkommen ausbleiben könnten, während eine vorsichtige Bürokratie den Vorfall bearbeitet. Also entfernte ich meinen Online-Lebenslauf und traf auch Maßnahmen, damit kein zufälliger Dieb aus Versehen meinen Arbeitslaptop stiehlt.
Inzwischen bin ich nicht mehr in diesem Job und genieße wie alle anderen auf LinkedIn Recruiting-Spam für Stellen wie Junior Python Leetcode Hazing Engineer.
In bestimmten Rollen oder Branchen kann es eine ganz normale Sicherheitsmaßnahme gegen gezielte Angriffe sein, den Beschäftigungsstatus nicht öffentlich zu machen. In der realen Welt würden CIA-Agenten im Ausland ja auch nicht mit Visitenkarten herumlaufen, auf denen ein CIA-Stempel prangt.
Ich möchte ebenfalls, dass bestimmte Leute nicht wissen, wo ich arbeite, aber einen alten Lebenslauf online zu lassen, in dem der aktuelle Arbeitgeber nicht erwähnt wird, halte ich für okay. Ich habe auch die HR-Leitung gebeten, dafür zu sorgen, dass mein Name niemals auf einer öffentlichen „Unser Team“-Seite erscheint.
Als Nebeneffekt muss ich jedes Mal lachen, wenn in verpflichtenden Unternehmens-Sicherheitsschulungen Vorgehensweisen gegen gezielte Angriffe und Beispiele für Phishing-Mails gezeigt werden. Bisher habe ich, abgesehen von Tests durch Pentest-Firmen, keine einzige Spear-Phishing-Mail bekommen.
Welcher Idiot erledigt denn private Dinge auf Firmengeräten?
Ich rede nicht von armen Leuten, sondern von Leuten, die genug Geld haben, sich eigene private Geräte zu kaufen.
Mein privater Computer ist eine Art Heizgerät, das auch Videospiele ausführen kann, deshalb nutze ich ihn nicht standardmäßig. Ich könnte mir ein drittes Gerät leisten, aber mit dem Geld kann ich Besseres anfangen.
Natürlich versuche ich, die Sicherheitsregeln des Unternehmens einzuhalten. Ich vertraue dem Unternehmen. Ich möchte nicht für ein Unternehmen arbeiten, dem ich meine Browser-Cookies nicht anvertrauen kann. In meiner Rechtsordnung ist auch das Gesetz auf meiner Seite. Man kann mich nicht einfach entlassen, nur weil ich auf dem Firmenlaptop etwas getan habe, das der Firma nicht gefällt; dafür braucht es einen sehr guten Grund.
Als ich studentischer Praktikant und deutlich ärmer war, habe ich dasselbe auch gemacht.
Ich logge mich nicht ein und schaue einfach gern Filme auf dem Arbeitslaptop.
In diesem Fall arbeitete das Opfer bei einem Luft- und Raumfahrtunternehmen. Ich kenne ein paar Leute aus der Branche, und sie arbeiten alle absurd lange. Außerdem war es ein spanisches Unternehmen, also galten Arbeitstage von mehr als 10 Stunden möglicherweise als selbstverständlich.
Etwas anderes Thema, aber wenn Menschen in Nordkorea kaum Internetzugang haben, bis sie Regierungsangestellte werden, frage ich mich, wie Lazarus/HIDDEN COBRA so ausgefeilte staatlich unterstützte Angreifer werden kann.
Ohne Zugang zu moderner Sicherheitsforschung, Open-Source-Projekten, Programmiermaterialien und real verbreiteter Malware dürfte es schwierig sein, eine Generation hervorragender Hacker heranzuziehen. Vielleicht greifen sie ja Leute auf, die Firewalls umgehen, und bieten ihnen Jobs in der Einheit an.
Außerdem frage ich mich, wie du dir Hacker-Ausbildung vorstellst. Es reicht nicht, ihnen beizubringen, mit einem React-Nightly-Build eine To-do-App zu bauen. Wahrscheinlich kennen sie Ethernet und den TCP/IP-Stack besser auswendig als die Leute, die sie entwickelt haben, und können das auch rückwärts aufsagen; allein das reicht schon, um vieles zu hacken.
In einem Land, in dem vieles knapp ist, etwa Nahrung und Strom, ist das ein sehr begehrter Beruf. Wer mehr wissen will, kann den Podcast Lazarus Heist hören.
Bei uns in der Region haben von 300 Personalvermittlungsfirmen nur 23 tatsächlich eine Lizenz, legal als Dienstleister zu arbeiten, daher überrascht mich das nicht.
Verifizieren zu wollen, welche davon echt und welche gefälscht sind, ist ein Faden, an dem die meisten Unternehmen und Bewerber lieber nicht ziehen möchten.
Es gibt auch Betrug mit gefälschten Stellenangeboten. Dabei werden Mitarbeiter mit attraktiven Vergütungspaketen abgeworben, ein Wettbewerber schöpft Daten ab und setzt sie dann vor Ende der Probezeit, meist innerhalb von 6 bis 10 Monaten, wieder vor die Tür. Mehrere böswillige Akteure verbreiten mit überzogenen Versprechen auch infizierte PDFs.
Man muss vorsichtig sein, und 86Box unterstützt wie Bochs/kvm schreibgeschützte Backing-Images und Sessions: https://github.com/86Box/86Box/releases
Es läuft auch auf Apple-M1-Laptops, ist aber langsam.
Solche schlimmen Dinge passieren wirklich.
2019 wurde mein Laptop über das von der Zentrale bereitgestellte kostenlose Wi-Fi gehackt, und ich musste alle SSH-Keys austauschen.
„Zwei schädliche ausführbare Dateien … die erste ist ein Hello-World-Projekt … die zweite gibt die Fibonacci-Folge bis zum größten Element aus, das kleiner als die Eingabe ist“ – das hätte das erste Warnsignal sein müssen, dass hier etwas nicht stimmt.
Bei Meta hätte man mit LeetCode medium oder hard angefangen.
Die Sicherheit dieser Website ist fantastisch.
Sie haben verhindert, dass man beim Scrollen durch den Seiteninhalt die Pfeiltasten verwenden kann. Das liegt eindeutig an einem unbekannten Angriffsvektor über die Tastatur. Großartig.