Sicherheitsforscher von ESET deckten einen erfolgreichen Angriff der nordkoreanischen APT-Gruppierung Lazarus auf ein spanisches Luft- und Raumfahrtunternehmen auf[i]. Lazarus setzte dabei unter anderem eine bislang unbekannte Backdoor ein. ESET gelang es, die Funktionsweise dieser Backdoor nachzuvollziehen und gab ihr den Namen LightlessCan.
Die Angreifer geben sich als Rekrutierer von Meta aus und kontaktieren ihre potenziellen Opfer über LinkedIn Messaging. Anschließend übermitteln sie ihrem Ziel zwei Programmieraufgaben, welche angeblich Teil eines Einstellungsverfahrens sind. Durch das Öffnen der beiden Aufgaben wird auf dem Gerät des Opfers Malware installiert. Darunter befindet sich unter anderem die oben genannte Backdoor LightlessCan.
Bei LightlessCan handelt es sich um einen Remote Access Trojaner (RAT), eine sehr fortschrittliche Weiterentwicklung des Vorgängers BlindingCan. LightlessCan ahmt Funktionen einer breiten Palette nativer Windows-Befehle nach und ermöglicht so eine diskrete Ausführung. Diese niederschwellige Aktivität macht das Erkennen und Analysieren der Malware erheblich schwerer.
Luft- und Raumfahrtunternehmen sind kein ungewöhnliches Ziel für nordkoreanische APT-Gruppierungen um Zugang zu sensiblen Technologien sowie entsprechendem Know-how zu erhalten. Aktuell liegen der Cyberabwehr des Landesamtes für Verfassungsschutz keine Hinweise auf mögliche Ziele in Deutschland vor. Aufgrund seiner Rolle als Hochtechnologieland könnten jedoch auch deutsche Ziele ins Fadenkreuz der Angreifer geraten.
Aus diesem Grund rät die Cyberabwehr zur erhöhten Wachsamkeit bei vermeintlichen Job-Angeboten auf Berufsportalen sowie die Prüfung der eigenen Systeme anhand der von ESET zur Verfügung gestellten IoCs.