导语:拉扎罗斯集团(Lazarus Group)是一个与朝鲜有关的黑客实体,最近在针对西班牙一家航空航天公司的网络间谍攻击活动中被发现,黑客团伙在 LinkedIn 上冒充 Meta 的招聘人员,然后接近目标公司的员工进行攻击。
拉扎罗斯集团(Lazarus Group)是一个与朝鲜有关的黑客实体,最近在针对西班牙一家航空航天公司的网络间谍攻击活动中被发现。此次发生的攻击事件是名为 " Operation Dream Job" 的更广泛的鱼叉式网络钓鱼活动的一部分,其攻击方式是以诱人的工作机会吸引潜在的具有战略意义的员工,从而进行整个感染过程。
在媒体最近分享的一份技术报告中,ESET 安全研究员揭示了这次攻击的来龙去脉。在今年 3 月发生的一起事件中,这家斯洛伐克网络安全公司发现了一次针对 Linux 用户的攻击,通过利用虚假的汇丰银行工作机会部署了一个名为 SimplexTea 的后门。
此次最新的入侵攻击是针对 Windows 系统设计的,其目的是安装一个名为 LightlessCan 的后门程序。研究员强调了这一有效载荷的重要性,同时也强调了它的复杂性,并表示与其前身 BLINDINGCAN 相比有了很大的进步,BLINDINGCAN 也被称为 AIRDRY 或 ZetaNile,是一种多用途的恶意软件,并且能够从被入侵的主机中提取敏感的数据。
攻击的过程如下:受害者在 LinkedIn 上收到了一个自称是 Meta Platforms 的假冒招聘人员发来的信息。该招聘人员要求发送两个验证码并谎称是正常招聘流程所需要的,最终说服受害者执行托管在第三方云存储平台上的恶意文件(名为Quiz1.iso和Quiz2.iso)。
ESET 指出,这些 ISO 文件包含了恶意的二进制文件(Quiz1.exe 和 Quiz2.exe),它们被受害者下载并在公司的设备上进行执行,这也导致了系统被入侵以及企业网络被攻破。
这次攻击为接下来的使用名为 NickelLoader 的 HTTP(S) 下载器创造了条件。这样,攻击者就可以在受害者的计算机内存中部署任何想要的恶意程序,其中包括LightlessCan远程访问木马和被称为miniBlindingCan(又名AIRDRY.V2)的BLINDINGCAN变种。
LightlessCan 可支持多达 68 种不同的命令,其中有43 种命令在其当前版本中可用,与此同时,miniBlindingCan 则主要侧重于传输系统信息和从远程服务器下载文件,
该攻击活动的一个值得注意的特点是使用了部分防护措施,可以防止有效载荷被解密并在目标受害者以外的机器上运行。
研究员强调说,LightlessCan模拟了大量本地Windows命令的功能,从而能够在系统后台静默执行,而不是直接在控制台输出内容来执行。这种攻击方式的转变增强了隐蔽性,使检测和分析攻击者的活动更具有挑战性。
最近几个月,Lazarus 集团和其他来自朝鲜的威胁集团异常活跃。根据卡巴斯基的说法,他们的攻击横跨各个领域,包括印度的制造业和房地产、巴基斯坦和保加利亚的电信公司,以及欧洲、日本和美国的政府、研究和国防承包商等。
文章翻译自:https://www.cysecurity.news/2023/10/security-breach-hacker-poses-as-meta.html如若转载,请注明原文地址