LightlessCan 恶意软件

网络犯罪分子对西班牙一家未公开的航空航天公司实施了间谍攻击。在这起事件中，威胁行为者冒充 Meta（前身为 Facebook）下属的招聘人员来针对该公司的员工。欺诈性招聘人员通过 LinkedIn 联系这些员工，随后受骗下载并打开威胁性可执行文件。该欺骗性文件以编码挑战或测验的形式呈现。受感染的系统随后感染了以前未知的后门威胁，追踪为 LightlessCan。

这次网络攻击是一项名为“梦想工作行动”的成熟鱼叉式网络钓鱼活动的一部分。它是由与朝鲜有联系的 APT（高级持续威胁）组织Lazarus Group精心策划的。梦想工作行动的主要目标是吸引在具有战略利益的组织内工作的员工。攻击者利用有吸引力的工作机会的承诺作为诱饵来启动感染链，最终目标是损害目标的系统和数据。

多阶段攻击链传播 LightlessCan 恶意软件

当目标个人通过 LinkedIn 收到来自声称代表 Meta Platforms 的欺诈性招聘人员的消息时，攻击链就开始了。然后，这个虚假的招聘人员继续发送两个编码挑战，似乎是招聘过程的一部分。他们成功说服受害者执行这些测试文件，这些文件托管在第三方云存储平台上，名为 Quiz1.iso 和 Quiz2.iso。

正如网络安全专家所发现的，这些 ISO 文件携带名为 Quiz1.exe 和 Quiz2.exe 的恶意二进制文件。受害者预计会在目标公司提供的设备上下载并执行这些文件。这样做会导致系统受到损害，从而导致公司网络遭到破坏。

此漏洞为部署称为 NickelLoader 的 HTTP(S) 下载器打开了大门。通过此工具，攻击者能够将任何所需的程序直接注入受害者计算机的内存中。部署的程序包括 LightlessCan 远程访问木马和BLINDINGCAN的变体，称为 miniBlindingCan（也称为 AIRDRY.V2）。这些威胁工具可以让攻击者远程访问和控制受感染的系统。

LightlessCan 代表了 Lazarus 强大武器库的演变

这次攻击最令人担忧的方面是引入了一种名为 LightlessCan 的新型有效负载。与其前身 BLINDINGCAN（也称为 AIDRY 或 ZetaNile）相比，这种复杂的工具在有害功能方面表现出了显着的进步。 BLINDINGCAN 已经是一种功能丰富的恶意软件，能够从受感染的主机中提取敏感信息。

LightlessCan 配备了对多达 68 个不同命令的支持，尽管其当前版本仅包含其中 43 个命令，并且至少具有一些功能。至于miniBlindingCan，它主要处理诸如传输系统信息和下载从远程服务器检索的文件等任务。

此次行动的一个显着特点是执行护栏的落实。这些措施可防止有效负载在目标受害者以外的任何计算机上被解密和执行。

LightlessCan 旨在以模拟众多本机 Windows 命令功能的方式进行操作。这使得 RAT 能够在其内部执行谨慎的执行，从而避免了嘈杂的控制台操作。这种战略转变增强了隐蔽性，使得检测和分析攻击者的活动变得更加困难。