Lazarus атаковала аэрокосмическую компанию в Испании, прикинувшись рекрутером
Северокорейскую хак-группу Lazarus связали с
кибершпионской атакой на неназванную аэрокосмическую компанию в Испании. Злоумышленники вышли на связь с сотрудником компании-жертвы, выдавая себя за рекрутера из Meta (признана экстремистской организацией, деятельность запрещена в РФ), и вынудили его установить новый бэкдор
LightlessCan.
Как сообщили специалисты
ESET, через
LinkedIn с сотрудниками аэрокосмической компании связался фальшивый рекрутер и обманом вынудил их открыть вредоносные исполняемые файлы, которые были замаскированы под тестовые задачи по программированию (
Quiz1.iso и Quiz2.iso).
Эти
ISO-файлы, содержащие вредоносные файлы
Quiz1.exe и
Quiz2.exe, были загружены и выполнены сотрудником на корпоративном устройстве, что привело к компрометации системы и проникновению хакеров в корпоративную сеть.
В результате атаки в систему проник загрузчик
NickelLoader, который позволял злоумышленникам внедрить в память компьютера жертвы любую программу, включая
троян удаленного доступа
LightlessCan и
miniBlindingCan (вариант
малвари BLINDINGCAN с урезанной функциональностью, он же AIRDRY.V2).