比特派钱包官方|加密货币公司要小心：Lazarus 的新恶意软件现在可以绕过检测

ESET 的网络安全研究人员警告称，用于虚假工作诈骗的恶意软件负载“LightlessCan”比其前身更难以检测。

朝鲜黑客集团 Lazarus Group 一直在使用一种新型“复杂”恶意软件作为其虚假就业骗局的一部分，研究人员警告说，检测这种骗局比其前身更具挑战性。

根据 ESET 高级恶意软件研究员 Peter Kálnai 9 月 29 日发布的帖子，在分析最近针对一家西班牙航空航天公司的虚假工作攻击时，ESET 研究人员发现了一个未公开记录的名为 LightlessCan 的后门。

推荐阅读 1

比特币研究日 – CryptoNews 日历

2小时前 2

北非 | 突尼斯 Dar区块链宣布与 HashGraph 协会合作开发 MENA Web3 生态系统

3小时前

#ESET 研究人员公布了与朝鲜相关的 #APT 组织 #Lazarus 发起的针对西班牙一家航空航天公司的攻击的调查结果。

▶️ 在 @TonyAtESET 的 #WeekinSecurity 视频中了解更多信息。 pic.twitter.com/M94J200VQx

— ESET (@ESET) 2023 年 9 月 29 日

拉撒路集团的虚假工作骗局通常涉及以知名公司的潜在工作机会来欺骗受害者。 攻击者会诱使受害者下载伪装成文档的恶意有效负载，以造成各种损害。

然而，Kálnai 表示，与前身 BlindingCan 相比，新的 LightlessCan 有效载荷是“重大进步”。

“LightlessCan 模仿各种本机 Windows 命令的功能，从而能够在 RAT 本身内谨慎执行，而不是嘈杂的控制台执行。”

他说：“这种方法在隐秘性方面提供了显着的优势，无论是逃避 EDR 等实时监控解决方案还是事后数字取证工具。”

️‍♂️ 谨防假冒 LinkedIn 招聘人员 了解 Lazarus 集团如何通过木马化编码挑战来利用一家西班牙航空航天公司。 在我们最新的#WeLiveSecurity 文章中深入了解他们的网络间谍活动的详细信息。 #ESET #ProgressProtected

— ESET (@ESET) 2023 年 9 月 29 日

新的有效负载还使用了研究人员所说的“执行护栏”——确保有效负载只能在目标受害者的机器上解密，从而避免安全研究人员意外解密。

Kálnai 表示，涉及新恶意软件的一个案例来自于 2022 年对一家西班牙航空航天公司的攻击，当时一名员工收到了来自假冒 Meta 招聘人员 Steve Dawson 的消息。

不久之后，黑客发送了嵌入恶意软件的两个简单的编码挑战。

攻击者冒充 Meta 招聘人员进行初次联系。 资料来源：WeLiveSecurity。

他补充说，网络间谍活动是拉撒路集团攻击这家西班牙航空航天公司的主要动机。

相关：加密货币投资者可以采取 3 个步骤来避免 Lazarus 集团的黑客攻击

根据区块链取证公司 Chainaanalysis 9 月 14 日的报告，自 2016 年以来，朝鲜黑客已从加密货币项目中​​窃取了约 35 亿美元。

2022 年 9 月，网络安全公司 SentinelOne 警告 LinkedIn 上存在虚假工作骗局，为潜在受害者提供 Crypto.com 的工作，作为“梦想工作行动”活动的一部分。

与此同时，联合国一直在国际层面上努力遏制朝鲜的网络犯罪策略——据了解，朝鲜正在利用窃取的资金来支持其核导弹计划。

杂志：爆米花罐中价值 3.4B 美元的比特币：丝绸之路黑客的故事