此前,该组织利用LinkedIn时,成功从Ronin Network (RON)区块链网络窃取了惊人的6.25亿美元。
ESET Research发布了一份报告,描述了新发现的来自Lazarus组织的网络间谍活动。这份由Peter Kálnai撰写的报告透露,Lazarus APT在此次活动中利用了专业社交网络平台LinkedIn,ESET认为这是该组织DreamJob行动的一部分。
据报道,攻击者通过冒充LinkedIn招聘人员来引诱一家西班牙航空航天公司的员工。他们的目标是出于个人目的使用公司计算机的公司员工。ESET的主要发现是Lazarus在这次活动中使用了一个先前未记录的后门,称为LightlessCan。
值得注意的是,自2019年以来,Lazarus集团对航天行业表现出了浓厚的兴趣。2019年11月,该组织以印度航天局为目标,恰逢印度进行“月船二号”登月尝试。
对于总部位于朝鲜的Lazarus集团来说,利用LinkedIn瞄准大公司并不是什么新鲜事。2022年7月,据透露,该团伙利用虚假的LinkedIn工作机会从Ronin Network (RON)窃取了6.25亿美元,Ronin Network是一个支持流行加密游戏Axie Infinity和Axie DAO的区块链网络。
对这种新型LightlessCan的进一步探索表明,它目前正处于进化阶段,是一种复杂的工具,在设计和操作方面展现出高度复杂的机制。这表明威胁行为者不断改进他们的攻击策略和工具,因为LightlessCan比其前身BlindingCan更加恶意。
该公司网络的首次访问是在2022年通过鱼叉式网络钓鱼攻击实现的,攻击者伪装成Meta招聘人员。他们通过LinkedIn消息功能联系了员工。受害者会收到两项编码挑战来完成招聘流程。该挑战必须在公司计算机上下载并执行。
第一个挑战是显示短语“Hello World!” 第二个挑战是打印斐波那契数列,其中每个数字都是前两个数字的总和。受害者预计会诱使他们执行木马PDF查看器来查看工作机会或连接带有IP地址和登录凭据的木马SSL/VPN客户端,从而自我损害系统。
据ESET称,多名员工成为了这种技术的目标。要求目标通过完成挑战/测验来证明他们对C++编程的熟练程度。招聘人员发送两个名为Quiz1.exe和Quiz2.exe的可执行文件。这些可执行文件通过两个映像文件(Quiz1.iso和Quiz2.iso)提供。这些文件托管在第三方云存储平台上,是需要用户输入的基本命令行应用程序。
在攻击链的最后阶段,攻击者使用HTTP(S)下载程序NickelLoader感染系统,以将任何程序部署到受感染系统的内存中。
通过NickelLoader,他们提供了两种RAT,Lazarus的旗舰工具包BlindingCan后门的简化版本miniBlindingCan和名为LightlessCan的新工具ESET。这是BlindingCan的后继者,支持多达68个不同的命令,并在自定义函数表中建立索引。
ESET检测到LightlessCan有两个版本。当前版本(1.0)仅支持48个命令,功能有限。它基于BlindingCan源代码,并进行了某些索引更改。
这个新工具包可以模仿几个本机Windows命令的功能,例如ping、ipconfig、systeminfo、sc、net,在RAT内实现谨慎执行,并具有增强的隐秘性,这使得检测/分析它成为一个巨大的挑战。
Outpost24的KrakenLabs经理Victor Acin对此问题发表了评论,并表示:“随着公司提高网络安全能力、实现基础设施现代化并整合技术,以传统方式利用漏洞变得越来越困难。这一点,以及发现应用程序逻辑及其编程中允许攻击者访问该服务器的错误,使得零日漏洞很少见。”
Acin补充道:“威胁行为者针对链接中最薄弱的部分(屏幕后面的用户)发起攻击,这并不奇怪。社会工程攻击是进入公司的最常见方式,而且随着社交媒体等来源的大量员工数据以及包含PII的泄露,每天都可以更轻松地组合出可靠的目标包。”
供您参考,Lazarus,又名隐藏眼镜蛇,是来自朝鲜的网络间谍组织。它于2009年首次被发现,并成功实施了数起备受瞩目的事件,包括索尼影视娱乐黑客攻击(2016年)和WanaCryptor又名WannaCry攻击(2017年)。
对于Lazarus等朝鲜资助的APT组织来说,航空航天公司并不是不寻常的目标,因为他们希望获取敏感技术并从网络攻击中获取资金,以进一步发展朝鲜的导弹。
评论已关闭。