朝鲜APT Lazarus 定向攻击一家西班牙航空航天公司

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

与朝鲜有联系的 APT 组织 Lazarus 冒充 Meta 的招聘人员攻击一家西班牙航空航天公司。

ESET 研究人员将与朝鲜有关联的 Lazarus APT 组织与针对一家未透露姓名的西班牙航空航天公司的网络攻击联系起来。网络间谍冒充 Meta 的招聘人员，用木马化的编码挑战来引诱员工。

国家资助的黑客部署了多种工具，包括之前未记录的名为 LightlessCan 的后门。研究人员确定了四种不同的攻击链，通过 DLL 侧面加载传递三种类型的有效负载。

威胁行为者向目标组织的员工发送了两个编码挑战，诱骗他们打开恶意可执行文件。

“假冒招聘人员通过 LinkedIn Messaging（LinkedIn 专业社交网络平台的一项功能）联系受害者，并发送了招聘流程所需的两个编码挑战，受害者在公司设备上下载并执行了这些挑战。”阅读ESET 发布的分析。“第一个挑战是一个非常基本的项目，显示文本“Hello，World！”，第二个挑战打印斐波那契数列 - 一系列数字，其中每个数字都是前两个数字的总和。”

ESET 认为，此次攻击是长期网络间谍活动的一部分，该活动被追踪为“DreamJob 行动”。

LightlessCan 植入物比其前身BlindingCan更加复杂和隐蔽。2020 年，美国 CISA 发布了与用于攻击美国国防和航空航天部门的朝鲜恶意软件 BLINDINGCAN 相关的警报。LightlessCan 模仿各种本机 Windows 命令的功能以避免检测。

恶意软件作者实施了另一种机制，以确保有效负载只能在目标受害者的计算机上解密，以防止研究人员进行分析。

对西班牙公司的攻击中使用的恶意可执行文件 Quiz1.exe 和 Quiz2.exe 是通过 Quiz1.iso 和 Quiz2.iso 映像传递的。这两个映像都托管在第三方云存储平台上，并且两个可执行文件都是非常简单的要求输入的命令行应用程序。

目标开发人员面临的挑战包括理解程序的逻辑并用 C++ 编程语言重写它。

打印两个程序的输出后，两个可执行文件开始将 ISO 映像中的附加有效负载安装到目标系统上。

该攻击链会导致将名为 NickelLoader 的 HTTP(S) 下载程序部署到受害者的计算机上。然后，下载程序用于将其他恶意负载部署到受害者系统的内存中，包括 LightlessCan RAT 和 miniBlindingCan（BlindingCan RAT 的简化版本）。

LightlessCan 设计为支持多达 68 个不同的命令，但 ESET 分析的当前版本 1.0 仅支持其中的 43 个命令。

“其余命令存在，但以占位符的形式正式实现，缺乏实际功能。RAT 背后的项目肯定是基于 BlindingCan 源代码，因为共享命令的顺序被显着保留，即使它们的索引可能存在差异。”报告继续。

ESET 的分析得出的结论是，此次攻击最令人担忧的方面是 LightlessCan RAT 的使用，该 RAT 在设计和操作方面表现出高度复杂性。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜APT Lazarus 定向攻击一家西班牙航空航天公司