來源:Adobe/beebright
ESET 的網路安全專家警告各公司注意Lazarus Group 的新惡意軟體「LightlessCan」所帶來的威脅,並表示該惡意軟體比以前的版本更難檢測。
據該公司稱,該惡意軟體主要部署在就業詐騙中,誘騙用戶安裝偽裝成與公司相關的工作任務或文件的惡意負載。
在9 月29 日發布的最新部落格文章中,該公司重點介紹了新惡意軟體的工作原理、其對網路系統的損害、導致網路間諜活動的不同執行鍊等。
Lazarus 集團與多起價值數百萬美元的加密貨幣駭客攻擊有關,其中最引人注目的是體育博彩平台Stake.com 損失超過4000 萬美元的事件。
該組織也與Bitthumb、Nicehash 事件有關,這些事件記錄了數百萬美元被盜以及對阿斯特捷利康、索尼、WannaCry 等傳統公司的駭客攻擊。
這是它的工作原理
網路安全專家解釋說,駭客利用遠端存取木馬將有效負載傳遞到受害者的網絡,這比以前的版本要複雜得多。
「LightlessCan 模仿各種本機Windows 指令的功能,支援在RAT 本身內謹慎執行,而不是吵雜的控制台執行。 這種策略轉變增強了隱蔽性,使偵測和分析攻擊者的活動變得更具挑戰性。”
LightlessCan 還使用護欄作為有效負載在執行過程中的保護機制,「有效防止在非預期機器上進行未經授權的解密,例如安全研究人員的機器,」他們補充道。
根據該報告,在透過社群媒體招募流程獲得初步存取權限後,它使用了多種加密貨幣技術,例如AES-128 和RC6,以及來自亞馬遜事件等之前活動的256 位元金鑰。
最後階段的RAT 部署與嵌入有效負載到系統中的釋放器和載入器一起使用
「此活動中使用的最有趣的有效負載是LightlessCan,它是該組織旗艦HTTP(S) Lazarus RAT(名為BlindingCan)的後繼者。TerlessCan 是一種新的複雜RAT,支援多達68 個不同的命令,在自定義函數表中索引,但在當前版本1.0 中,只有43 個命令通過某些功能實現。”
最後,安全團隊呼籲重新認識相關詐騙,以大幅減少其發生,並實現數位安全。
以西班牙航空航太公司為例
該公司發現Lazarus Group 利用新的LightlessCan 模式對一家西班牙航空航太公司進行了駭客攻擊。
去年,經過一系列有針對性的活動後,不良行為者以該公司的招募人員身份進入了該公司的網路。
他們透過Linkedin 聯繫了受害者,並發送了兩項編碼任務作為招募策略的一部分。第一個任務是「Hello, World!」的基本顯示。第二個涉及列印斐波那契數列。
資訊來源:由0x資訊編譯自CRYPTONEWS。版權所有,未經許可,不得轉載
