信息化觀察網(wǎng)

本文來(lái)自嘶吼網(wǎng)，作者/~陽(yáng)光~。

拉扎羅斯集團(tuán)（Lazarus Group）是一個(gè)與朝鮮有關(guān)的黑客實(shí)體，最近在針對(duì)西班牙一家航空航天公司的網(wǎng)絡(luò)間諜攻擊活動(dòng)中被發(fā)現(xiàn)。此次發(fā)生的攻擊事件是名為"Operation Dream Job"的更廣泛的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)的一部分，其攻擊方式是以誘人的工作機(jī)會(huì)吸引潛在的具有戰(zhàn)略意義的員工，從而進(jìn)行整個(gè)感染過(guò)程。

在媒體最近分享的一份技術(shù)報(bào)告中，ESET安全研究員揭示了這次攻擊的來(lái)龍去脈。在今年3月發(fā)生的一起事件中，這家斯洛伐克網(wǎng)絡(luò)安全公司發(fā)現(xiàn)了一次針對(duì)Linux用戶的攻擊，通過(guò)利用虛假的匯豐銀行工作機(jī)會(huì)部署了一個(gè)名為SimplexTea的后門(mén)。

此次最新的入侵攻擊是針對(duì)Windows系統(tǒng)設(shè)計(jì)的，其目的是安裝一個(gè)名為L(zhǎng)ightlessCan的后門(mén)程序。研究員強(qiáng)調(diào)了這一有效載荷的重要性，同時(shí)也強(qiáng)調(diào)了它的復(fù)雜性，并表示與其前身BLINDINGCAN相比有了很大的進(jìn)步，BLINDINGCAN也被稱(chēng)為AIRDRY或ZetaNile，是一種多用途的惡意軟件，并且能夠從被入侵的主機(jī)中提取敏感的數(shù)據(jù)。

攻擊的過(guò)程如下：受害者在LinkedIn上收到了一個(gè)自稱(chēng)是Meta Platforms的假冒招聘人員發(fā)來(lái)的信息。該招聘人員要求發(fā)送兩個(gè)驗(yàn)證碼并謊稱(chēng)是正常招聘流程所需要的，最終說(shuō)服受害者執(zhí)行托管在第三方云存儲(chǔ)平臺(tái)上的惡意文件（名為Quiz1.iso和Quiz2.iso）。

ESET指出，這些ISO文件包含了惡意的二進(jìn)制文件（Quiz1.exe和Quiz2.exe），它們被受害者下載并在公司的設(shè)備上進(jìn)行執(zhí)行，這也導(dǎo)致了系統(tǒng)被入侵以及企業(yè)網(wǎng)絡(luò)被攻破。

這次攻擊為接下來(lái)的使用名為NickelLoader的HTTP(S)下載器創(chuàng)造了條件。這樣，攻擊者就可以在受害者的計(jì)算機(jī)內(nèi)存中部署任何想要的惡意程序，其中包括LightlessCan遠(yuǎn)程訪問(wèn)木馬和被稱(chēng)為miniBlindingCan（又名AIRDRY.V2）的BLINDINGCAN變種。

LightlessCan可支持多達(dá)68種不同的命令，其中有43種命令在其當(dāng)前版本中可用，與此同時(shí)，miniBlindingCan則主要側(cè)重于傳輸系統(tǒng)信息和從遠(yuǎn)程服務(wù)器下載文件，

該攻擊活動(dòng)的一個(gè)值得注意的特點(diǎn)是使用了部分防護(hù)措施，可以防止有效載荷被解密并在目標(biāo)受害者以外的機(jī)器上運(yùn)行。

研究員強(qiáng)調(diào)說(shuō)，LightlessCan模擬了大量本地Windows命令的功能，從而能夠在系統(tǒng)后臺(tái)靜默執(zhí)行，而不是直接在控制臺(tái)輸出內(nèi)容來(lái)執(zhí)行。這種攻擊方式的轉(zhuǎn)變?cè)鰪?qiáng)了隱蔽性，使檢測(cè)和分析攻擊者的活動(dòng)更具有挑戰(zhàn)性。

最近幾個(gè)月，Lazarus集團(tuán)和其他來(lái)自朝鮮的威脅集團(tuán)異常活躍。根據(jù)卡巴斯基的說(shuō)法，他們的攻擊橫跨各個(gè)領(lǐng)域，包括印度的制造業(yè)和房地產(chǎn)、巴基斯坦和保加利亞的電信公司，以及歐洲、日本和美國(guó)的政府、研究和國(guó)防承包商等。

文章翻譯自：https://www.cysecurity.news/2023/10/security-breach-hacker-poses-as-meta.html如若轉(zhuǎn)載，請(qǐng)注明原文地址