黑客冒充 Meta 招聘人员，针对航空公司进行攻击

拉扎罗斯集团（Lazarus Group）是一个与朝鲜有关的黑客实体，最近在针对西班牙一家航空航天公司的网络间谍攻击活动中被发现。此次发生的攻击事件是名为 " Operation Dream Job" 的更广泛的鱼叉式网络钓鱼活动的一部分，其攻击方式是以诱人的工作机会吸引潜在的具有战略意义的员工，从而进行整个感染过程。

在媒体最近分享的一份技术报告中，ESET 安全研究员揭示了这次攻击的来龙去脉。在今年 3 月发生的一起事件中，这家斯洛伐克网络安全公司发现了一次针对 Linux 用户的攻击，通过利用虚假的汇丰银行工作机会部署了一个名为 SimplexTea 的后门。

此次最新的入侵攻击是针对 Windows 系统设计的，其目的是安装一个名为 LightlessCan 的后门程序。研究员强调了这一有效载荷的重要性，同时也强调了它的复杂性，并表示与其前身BLINDINGCAN相比有了很大的进步，BLINDINGCAN 也被称为AIRDRY或ZetaNile，是一种多用途的恶意软件，并且能够从被入侵的主机中提取敏感的数据。

攻击的过程如下：受害者在LinkedIn上收到了一个自称是Meta Platforms 的假冒招聘人员发来的信息。该招聘人员要求发送两个验证码并谎称是正常招聘流程所需要的，最终说服受害者执行托管在第三方云存储平台上的恶意文件（名为Quiz1.iso和Quiz2.iso）。

ESET指出，这些ISO文件包含了恶意的二进制文件（Quiz1.exe 和 Quiz2.exe），它们被受害者下载并在公司的设备上进行执行，这也导致了系统被入侵以及企业网络被攻破。

这次攻击为接下来的使用名为NickelLoader的HTTP(S) 下载器创造了条件。这样，攻击者就可以在受害者的计算机内存中部署任何想要的恶意程序，其中包括LightlessCan远程访问木马和被称为miniBlindingCan（又名AIRDRY.V2）的BLINDINGCAN变种。

LightlessCan可支持多达 68 种不同的命令，其中有43 种命令在其当前版本中可用，与此同时，miniBlindingCan则主要侧重于传输系统信息和从远程服务器下载文件，

该攻击活动的一个值得注意的特点是使用了部分防护措施，可以防止有效载荷被解密并在目标受害者以外的机器上运行。

研究员强调说，LightlessCan模拟了大量本地Windows命令的功能，从而能够在系统后台静默执行，而不是直接在控制台输出内容来执行。这种攻击方式的转变增强了隐蔽性，使检测和分析攻击者的活动更具有挑战性。

最近几个月，Lazarus集团和其他来自朝鲜的威胁集团异常活跃。根据卡巴斯基的说法，他们的攻击横跨各个领域，包括印度的制造业和房地产、巴基斯坦和保加利亚的电信公司，以及欧洲、日本和美国的政府、研究和国防承包商等。

参考及来源：https://www.cysecurity.news/2023/10/security-breach-hacker-poses-as-meta.html