LightlessCan 惡意軟體

網路犯罪分子對西班牙一家未公開的航空航天公司實施了間諜攻擊。在這起事件中，威脅行為者冒充 Meta（前身為 Facebook）下屬的招募人員來針對該公司的員工。欺詐性招募人員透過 LinkedIn 聯繫這些員工，隨後受騙下載並開啟威脅性執行檔。此欺騙性文件以編碼挑戰或測驗的形式呈現。受感染的系統隨後感染了以前未知的後門威脅，追蹤為 LightlessCan。

這次網路攻擊是一項名為「夢想工作行動」的成熟魚叉式網路釣魚活動的一部分。它是由與北韓有聯繫的 APT（高級持續威脅）組織Lazarus Group精心策劃的。夢想工作行動的主要目標是吸引在具有策略利益的組織內工作的員工。攻擊者利用有吸引力的工作機會的承諾作為誘餌來啟動感染鏈，最終目標是損害目標的系統和數據。

多階段攻擊鏈傳播 LightlessCan 惡意軟體

當目標個人透過 LinkedIn 收到聲稱代表 Meta Platforms 的詐欺性招募人員的訊息時，攻擊鏈就開始了。然後，這個虛假的招募人員繼續發送兩個程式設計挑戰，似乎是招募過程的一部分。他們成功說服受害者執行這些測試文件，這些文件託管在第三方雲端儲存平台上，名為 Quiz1.iso 和 Quiz2.iso。

正如網路安全專家所發現的，這些 ISO 檔案攜帶名為 Quiz1.exe 和 Quiz2.exe 的惡意二進位檔案。受害者預計會在目標公司提供的設備上下載並執行這些檔案。這樣做會導致系統受到損害，從而導致公司網路遭到破壞。

此漏洞為部署稱為 NickelLoader 的 HTTP(S) 下載器打開了大門。透過此工具，攻擊者能夠將任何所需的程式直接注入受害者電腦的記憶體中。部署的程序包括 LightlessCan 遠端存取木馬和BLINDINGCAN的變體，稱為 miniBlindingCan（也稱為 AIRDRY.V2）。這些威脅工具可以讓攻擊者遠端存取和控制受感染的系統。

LightlessCan 代表了 Lazarus 強大武器庫的演變

這次攻擊最令人擔憂的方面是引入了一種名為 LightlessCan 的新型有效負載。與其前身 BLINDINGCAN（也稱為 AIDRY 或 ZetaNile）相比，這種複雜的工具在有害功能方面表現出了顯著的進步。 BLINDINGCAN 已經是一種功能豐富的惡意軟體，能夠從受感染的主機中提取敏感資訊。

LightlessCan 配備了對多達 68 個不同命令的支持，儘管其當前版本僅包含其中 43 個命令，並且至少具有一些功能。至於miniBlindingCan，它主要處理諸如傳輸系統資訊和下載從遠端伺服器檢索的檔案等任務。

這次行動的一個顯著特徵是執行護欄的落實。這些措施可防止有效負載在目標受害者以外的任何電腦上解密和執行。

LightlessCan 旨在以模擬眾多本機 Windows 指令功能的方式進行操作。這使得 RAT 能夠在其內部執行謹慎的執行，從而避免了嘈雜的控制台操作。這種策略轉變增強了隱蔽性，使得偵測和分析攻擊者的活動變得更加困難。