朝鲜Lazarus集团在求职诈骗中使用高级恶意软件
Summary:
朝鲜Lazarus集团正在他们的虚假工作骗局中部署一种更先进的恶意软件,称为LightlessCan,这使得检测更具挑战性。升级后的有效载荷首次被发现是在对一家西班牙航空航天公司的攻击中发现的,它具有创新功能,可增强其隐身性并保护其免受安全分析师的意外解密。黑客通常会用虚假的有利可图的工作机会引诱受害者,并诱使他们下载恶意负载。据报道,自2016年以来,朝鲜黑客从加密货币项目中窃取了约35亿美元。
朝鲜黑客组织Lazarus Group一直在他们所谓的工作诈骗诡计中使用先进的恶意软件,这比之前的迭代对检测构成了更大的挑战。9 月 29 日,ESET 的高级恶意软件调查员 Peter Kálnai 详细介绍了他对最近针对一家西班牙航空航天公司的虚假招聘骗局的分析,该公司发现了一个以前未注册的名为 LightlessCan 的后门。
Lazarus 集团招聘欺诈的 MO 通常涉及在信誉良好的公司用潜在有利可图的工作机会诱骗受害者。然后,毫无戒心的候选人被诱骗下载伪装成文档的有害有效载荷,然后对他们的系统造成严重破坏。然而,Kálnai强调,新的LightlessCan有效载荷代表了其旧版BlindingCan的“重大升级”。
LightlessCan模仿各种本机Windows命令,便于在RAT内部隐蔽执行,而不是显眼的控制台执行。“这种方法在规避方面提供了相当大的好处,有助于避免EDR等实时监控解决方案,并阻止事后数字取证工具,”他评论道。
更新后的有效载荷还包含Kálnai所说的“执行护栏”,确保有效载荷只能在预定的受害者系统上解码,从而规避安全分析师的意外解密。新恶意软件首次被发现是在 2022 年对一家西班牙航空航天公司的攻击中发现的,该员工收到了来自虚构的 Meta 招聘人员史蒂夫道森的消息。黑客迅速发送了一对与恶意软件相关的简单编码挑战。
Kálnai补充说,网络间谍活动是Lazarus Group攻击这家西班牙公司的主要动力。据区块链取证公司 Chainalysis 9 月 14 日报道,报告估计,自 2016 年以来,朝鲜黑客已从加密货币项目中窃取了约 35 亿美元。去年,网络安全公司SentinelOne在LinkedIn上标记了一个工作骗局,受害者在 Crypto.com 获得工作,这是一项名为“梦想工作”的行动。
与此同时,联合国正在齐心协力遏制朝鲜在全球舞台上的网络犯罪活动,因为人们了解到朝鲜正在将非法资金用于维持其核导弹计划。
Published At
10/2/2023 3:04:57 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.