朝鲜 Lazarus APT 部署的 LightlessCan 后门
Lazarus Group 是一个在朝鲜运营的黑客组织,在其欺骗性工作骗局中采用了一种新型高级恶意软件,研究人员警告说,这种骗局比其前身更难检测。
在检查最近针对一家西班牙航空航天公司的虚假工作攻击时,研究人员发现了一个以前未知的后门,名为 LightlessCan。
Lazarus 集团的欺诈性工作策略通常涉及通过知名公司的虚假就业机会来欺骗受害者。攻击者诱骗受害者以文档的形式下载伪装的恶意负载,以造成各种形式的伤害。
研究人员表示,新的 LightlessCan 有效负载与其前身 BlindingCan 相比有了显着改进。
LightlessCan 获得重大隐形升级
LightlessCan 模拟各种本机 Windows 命令的功能,允许在 RAT 本身内谨慎执行,而不是通过可能触发一些危险信号的控制台执行。
这种方法在规避方面提供了显着的优势,既可以逃避 EDR 等实时监控解决方案,也可以逃避攻击发生后使用的数字取证工具。
新的有效负载还采用了研究人员所谓的“执行护栏”,确保有效负载只能在目标受害者的机器上解密,从而防止安全研究人员意外解密。
这种新型恶意软件被用来攻击一家西班牙航空航天公司,当时一名员工收到了来自假冒 Meta 招聘人员 Steve Dawson 的消息。
此后不久,黑客发送了两个嵌入恶意软件的简单编码挑战。网络间谍活动是拉撒路集团攻击这家西班牙航空航天公司的主要动机。
根据区块链取证公司 Chainaanalysis 9 月 14 日的一份报告,自 2016 年以来,朝鲜黑客据称已从加密货币项目中窃取了约 35 亿美元。