朝鲜相关的网络攻击小组使用远程访问木马进行网络钓鱼攻击

关键要点

朝鲜关联的Lazarus 小组近期对一家西班牙航空公司实施了一起以 LinkedIn 为焦点的网络钓鱼攻击。攻击者冒充 Meta 公司，诱骗公司员工下载高级恶意软件。新的远程访问木马RAT名为 LightlessCan，其恶意能力显著提升，具有隐秘执行 Windows 命令的功能。Lazarus 小组一直活跃于网络攻击领域，自2009年起负责多起高调的网络事件。

近期，朝鲜相关的 Lazarus 小组 在一场针对西班牙航空公司的网络钓鱼攻击中，使用了未经记录的远程访问木马RAT。攻击者声称自己是 Facebook 母公司 Meta 的代表，也就是 Instagram 和 WhatsApp 的拥有者。

目标公司的员工在一名网络威胁小组成员的诱导下，下载了复杂的恶意软件到工作电脑上。ESET 高级恶意软件研究员 Peter Klnai 在一篇 博客文章 中详细描述了此次事件，表示此次攻击中释放的新 RAT，ESET 称其为 LightlessCan，“相比其前身 BlindingCan，在恶意能力上有显著提升。”

Klnai 在文章中写道：“LightlessCan 模拟了多种 Windows 原生命令的功能，使得在 RAT 内部进行隐蔽执行成为可能，而不是产生显眼的控制台输出。”他指出，这种恶意软件的出现使得“检测和分析攻击者活动变得更加具有挑战性”。

该 RAT 的 Windows 功能包括运行多个 Windows 命令，如 Ping、IPConfig、SystemInfo、SC与 Windows 服务控制器和已安装服务进行通信) 和 NET用于查看和修改网络设置的 Windows 命令。在早期的 Lazarus 攻击中，这些原生命令通常是在黑客已经取得目标系统控制后远程执行的。

Klnai 说：“在这种情况下，这些命令是在 RAT 内部隐蔽执行的，而不是在系统控制台中显式执行。”他提到，这种技术通常能够逃避实时监控解决方案，如 EDR端点检测与响应工具和法证工具。

由于 Windows 的核心工具是专有的且不是开源的，ESET 推测在开发 LightlessCan 时，Lazarus 可能对封闭源代码的系统二进制文件进行了逆向工程，以便在 RAT 中添加额外功能。

ESET指出，这种新型恶意软件使用了执行保护措施，目的是防止恶意软件被解密到除目标机器以外的其他任何机器上，使得安全研究人员难以分析恶意软件代码。

Lazarus 小组自2009年至今一直活跃，在网络攻击领域有着多个广为人知的案例，包括 2014年的索尼黑客事件 和 2017年的WannaCry勒索病毒。

蚂蚁加速器官网下载

虚假 LinkedIn 招聘信息以进行编程挑战

ESET 并未公开此次攻击针对的航空公司名称，但表示，受害者的机器被攻陷，该员工在 LinkedIn 消息中与黑客进行了交流。受