朝鲜冒充元在航空航天组织部署复杂后门

朝鲜国家支持的 Lazarus 集团似乎在其恶意软件库中添加了一个复杂且仍在不断发展的新后门，该后门首次在一家西班牙航空航天公司成功的网络入侵中被发现。

发现该恶意软件的 ESET 研究人员正在追踪名为“LightlessCan”的新威胁，并认为该威胁基于该威胁组织的旗舰 BlindingCan 远程访问木马 (RAT) 的源代码。

Lazarus 是一个朝鲜国家支持的威胁组织，美国组织和企业安全团队多年来对其非常熟悉。 自 2014 年对索尼影业发起毁灭性攻击而声名狼藉以来，Lazarus 组织已成为当前活跃的最有害的高级持续威胁 (APT) 组织之一。 多年来，它通过攻击银行和其他金融机构窃取了数千万美元； 从中窃取了数 TB 的敏感信息 国防承包商， 政府机构， 医疗保健组织和能源公司; 并处决了无数 加密货币抢劫 和 供应链攻击.

鱼叉式网络钓鱼作为初始访问的元数据

ESET 对西班牙航空航天公司遭受的攻击的分析表明，Lazarus 攻击者通过针对该公司特定员工的成功鱼叉式网络钓鱼活动获得了初步访问权限。 威胁行为者伪装成 Facebook 母公司 Meta 的招聘人员，并通过 LinkedIn Messaging 联系这家航空航天公司的开发人员。

一名被诱骗跟进最初消息的员工收到了两项编码挑战，据称是为了检查该员工对 C++ 编程语言的熟练程度。 事实上，托管在第三方云存储平台上的编码挑战包含恶意可执行文件，当员工试图解决挑战时，这些可执行文件会偷偷地在员工的系统上下载额外的有效负载。

第一个有效负载是 HTTPS 下载器，ESET 研究人员将其称为 NickelLoader。 该工具基本上允许 Lazarus 组织参与者将他们选择的任何程序部署到受感染系统的内存中。 在本例中，Lazarus 组织使用 NickelLoader 投放了两种 RAT——BlindingCan 的有限功能版本和 LightlessCan 后门。 BlindingCan 的简化版本（ESET 将其命名为 miniBlindingCan）的作用是收集系统信息，例如计算机名称、Windows 版本和配置数据，以及接收和执行来自命令和控制 (C2) 服务器的命令。

ESET 研究人员表示，对于 Lazarus 组织的目标组织来说，LightlessCan 代表了一个重大的新威胁 Peter Kálnai 在博客文章中写道 详细介绍了新发现的恶意软件。

该恶意软件的设计为 Lazarus 组织参与者提供了一种方法，可以显着遏制受感染系统上的恶意活动痕迹，从而限制实时监控控制和取证工具发现它的能力。

躲避实时监控和取证工具的老鼠

LightlessCan 集成了对多达 68 个不同命令的支持，其中许多命令模仿本机 Windows 命令，例如用于收集系统和环境信息的 ping、ipconfig、systeminfo 和 net。 目前，其中只有 43 个命令实际上可以发挥作用，其余的都是占位符，威胁行为者可能会在稍后的某个时候使其完全发挥作用，这表明该工具仍在开发中。 

“RAT 背后的项目肯定是基于 BlindingCan 源代码，因为共享命令的顺序被显着保留，即使它们的索引可能存在差异，”Kálnai 在博客文章中解释道。

然而，LightlessCan 似乎比 BoundlessCan 先进得多。 除此之外，新特洛伊木马可以在 RAT 本身内执行本机 Windows 命令。 

Kálnai 写道：“这种方法在隐蔽性方面提供了显着的优势，无论是逃避端点检测和响应 (EDR) 等实时监控解决方案，还是事后数字取证工具。”

威胁行为者还对 LightlessCan 进行了操纵，使其加密的有效负载只能使用特定于受感染计算机的解密密钥进行解密。 目标是确保有效负载解密只能在目标系统上进行，而不能在任何其他环境中进行， 卡尔奈指出， 例如属于安全研究人员的系统。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace