朝鮮 Lazarus APT 部署的 LightlessCan 後門
Lazarus Group 是一個在北韓運營的駭客組織,在其欺騙性工作騙局中採用了一種新型高級惡意軟體,研究人員警告說,這種騙局比其前身更難檢測。
在檢查最近針對一家西班牙航空航天公司的虛假工作攻擊時,研究人員發現了一個以前未知的後門,名為 LightlessCan。
Lazarus 集團的欺詐性工作策略通常涉及透過知名公司的虛假就業機會來欺騙受害者。攻擊者誘騙受害者以文件的形式下載偽裝的惡意負載,以造成各種形式的傷害。
研究人員表示,新的 LightlessCan 有效負載與其前身 BlindingCan 相比有了顯著改進。
LightlessCan 獲得重大隱形升級
LightlessCan 模擬各種本機 Windows 指令的功能,允許在 RAT 本身內謹慎執行,而不是透過可能觸發一些危險訊號的控制台執行。
這種方法在規避方面提供了顯著的優勢,既可以逃避 EDR 等即時監控解決方案,也可以逃避攻擊發生後使用的數位鑑識工具。
新的有效負載還採用了研究人員所謂的“執行護欄”,確保有效負載只能在目標受害者的機器上解密,從而防止安全研究人員意外解密。
這種新型惡意軟體被用來攻擊一家西班牙航空航太公司,當時一名員工收到了來自假冒 Meta 招募人員 Steve Dawson 的訊息。
此後不久,駭客發送了兩個嵌入惡意軟體的簡單編碼挑戰。網路間諜活動是拉撒路集團攻擊這家西班牙航空航太公司的主要動機。
根據區塊鏈取證公司 Chainaanalysis 9 月 14 日的報告,自 2016 年以來,北韓駭客據稱已從加密貨幣項目中竊取了約 35 億美元。