朝鲜相关的网络攻击小组使用远程访问木马进行网络钓鱼攻击

关键要点

• 朝鲜关联的Lazarus 小组 近期对一家西班牙航空公司实施了一起以 LinkedIn 为焦点 的网络钓鱼攻击。
• 攻击者冒充 Meta 公司，诱骗公司员工下载高级恶意软件。
• 新的远程访问木马（RAT）名为 LightlessCan ，其恶意能力显著提升，具有隐秘执行 Windows 命令的功能。
• Lazarus 小组一直活跃于网络攻击领域，自2009年起负责多起高调的网络事件。

近期，朝鲜相关的
在一场针对西班牙航空公司的网络钓鱼攻击中，使用了未经记录的远程访问木马（RAT）。攻击者声称自己是 Facebook 母公司 Meta 的代表，也就是
Instagram 和 WhatsApp 的拥有者。

目标公司的员工在一名网络威胁小组成员的诱导下，下载了复杂的恶意软件到工作电脑上。ESET 高级恶意软件研究员 Peter Kálnai 在一篇

中详细描述了此次事件，表示此次攻击中释放的新 RAT，ESET 称其为 LightlessCan ，“相比其前身
**，在恶意能力上有显著提升。”

Kálnai 在文章中写道：“LightlessCan 模拟了多种 Windows 原生命令的功能，使得在 RAT内部进行隐蔽执行成为可能，而不是产生显眼的控制台输出。”他指出，这种恶意软件的出现使得“检测和分析攻击者活动变得更加具有挑战性”。

该 RAT 的 Windows 功能包括运行多个 Windows 命令，如 Ping、IPConfig、SystemInfo、SC（)
和 NET（/View#:~:text=Net%20is%20a%20Windows%20command,Command%20prompt)_）。在早期的
Lazarus 攻击中，这些原生命令通常是在黑客已经取得目标系统控制后远程执行的。

Kálnai 说：“在这种情况下，这些命令是在 RAT 内部隐蔽执行的，而不是在系统控制台中显式执行。”他提到，这种技术通常能够逃避实时监控解决方案，如
EDR（端点检测与响应工具）和法证工具。

由于 Windows 的核心工具是专有的且不是开源的，ESET 推测在开发 LightlessCan 时，Lazarus可能对封闭源代码的系统二进制文件进行了逆向工程，以便在 RAT 中添加额外功能。

ESET指出，这种新型恶意软件使用了执行保护措施，目的是防止恶意软件被解密到除目标机器以外的其他任何机器上，使得安全研究人员难以分析恶意软件代码。

Lazarus 小组自2009年至今一直活跃，在网络攻击领域有着多个广为人知的案例，包括
和
。

虚假 LinkedIn 招聘信息以进行编程挑战

ESET 并未公开此次攻击针对的航空公司名称，但表示，受害者的机器被攻陷，该员工在 LinkedIn 消息中与黑客进行了交流。受