加密货币公司要小心:Lazarus 的新恶意软件现在可以绕过检测
朝鲜黑客集团 Lazarus Group 一直在使用一种新型恶意软件作为其虚假就业骗局的一部分。这种名为 LightlessCan 的恶意软件比其前身 BlindingCan 更难检测。
LightlessCan 模仿各种本机 Windows 命令的功能,从而能够在 RAT 本身内谨慎执行,而不是嘈杂的控制台执行。这种方法在隐秘性方面提供了显着的优势,无论是逃避 EDR 等实时监控解决方案还是事后数字取证工具。
新的有效负载还使用研究人员所谓的“执行护栏”,确保有效负载只能在目标受害者的计算机上解密,从而避免安全研究人员意外解密。
在一个案例中,Lazarus Group 使用 LightlessCan 攻击一家西班牙航空航天公司。黑客向一名员工发送了一份虚假的工作机会,当该员工点击电子邮件中的链接时,他们的计算机就会感染恶意软件。
拉撒路集团对这家航空航天公司的攻击是出于网络间谍活动。黑客很可能试图从该公司窃取敏感数据。
