加密公司请注意:拉撒路(Lazarus)的新恶意软件现在能够绕过检测

加密公司注意:拉撒路的新恶意软件可绕过检测

朝鲜黑客集团Lazarus Group一直在利用一种新型的“复杂”恶意软件进行虚假就业骗局,研究人员警告称,这种恶意软件比其前身更难以检测。

根据ESET的高级恶意软件研究员Peter Kálnai在9月29日的一篇帖子中的说法,ESET研究人员在分析对西班牙航天公司的最新虚假工作攻击时,发现了一种名为LightlessCan的公开未记录的后门。

#ESET研究人员揭示了与朝鲜相关的#APT组织#Lazarus对西班牙航空航天公司的攻击的发现。▶️在@TonyAtESET的#WeekinSecurity视频中了解更多。 pic.twitter.com/M94J200VQx

— ESET (@ESET) 2023年9月29日

Lazarus Group的虚假工作骗局通常涉及欺骗受害者,声称可以在一家知名公司获得就业机会。攻击者会引诱受害者下载伪装成文档的恶意负载,以造成各种破坏。

然而,Kálnai表示,与其前身BlindingCan相比,新的LightlessCan恶意软件是一个“重大进展”。

“LightlessCan模拟了各种本地Windows命令的功能,使得在RAT本身内部进行悄无声息的执行,而不是通过嘈杂的控制台执行。”

他说:“这种方法在隐匿性方面具有显著优势,既能逃避实时监控解决方案(如EDR),也能逃避事后数字取证工具。”

️‍♂️小心假LinkedIn招聘人员!了解Lazarus集团如何通过植入木马代码向一家西班牙航空航天公司发起攻击。在我们最新的#WeLiveSecurity文章中深入了解他们的网络间谍活动。#ESET #ProgressProtected

— ESET (@ESET) 2023年9月29日

新的恶意软件还使用了研究人员称之为“执行保护措施”,确保恶意负载只能在预定受害者的机器上解密,从而避免安全研究人员的意外解密。

Kálnai说,涉及新恶意软件的一个案例发生在2022年对一家西班牙航天公司的攻击中,当时一名员工收到了一条来自名为Steve Dawson的假Meta招聘人员的消息。

不久之后,黑客们发来了两个嵌有恶意软件的简单编码挑战。

攻击者冒充Meta招聘人员的初次联系。来源:WeLiveSecurity。

他补充说,网络间谍活动是Lazarus Group对西班牙航天公司发动攻击的主要动机。

相关文章: 加密货币投资者可以采取的3个步骤来避免Lazarus Group的黑客攻击

根据区块链取证公司Chainalysis于9月14日发布的一份报告,自2016年以来,朝鲜黑客从加密货币项目中窃取了约35亿美元。

2022年9月,网络安全公司SentinelOne警告称,在LinkedIn上出现了一起虚假工作骗局,以“Operation Dream Job”为名,为潜在受害者提供了在Crypto.com工作的机会。

与此同时,联合国一直试图在国际层面上限制朝鲜的网络犯罪手法,因为据了解,朝鲜正在利用窃取的资金来支持其核导弹计划。

杂志: 在一桶爆米花中的34亿比特币:丝绸之路黑客的故事