暗号通貨企業は注意:Lazarus の新しいマルウェアは検出を回避できるようになりました
北朝鮮のハッキング集団である Lazarus Group は、偽の雇用詐欺の一環として新種のマルウェアを使用しています。 LightlessCan と呼ばれるこのマルウェアは、以前の BlindingCan よりも検出がはるかに困難です。
LightlessCan は、さまざまなネイティブ Windows コマンドの機能を模倣し、騒々しいコンソール実行ではなく、RAT 自体内での控えめな実行を可能にします。このアプローチは、EDR などのリアルタイム監視ソリューションと事後デジタル フォレンジック ツールの回避の両方において、ステルス性の点で大きな利点をもたらします。
新しいペイロードは、研究者が「実行ガードレール」と呼ぶものも使用しており、意図した被害者のマシンでのみペイロードを復号できるようにすることで、セキュリティ研究者による意図しない復号を回避します。
あるケースでは、Lazarus Group が LightlessCan を使用してスペインの航空宇宙企業を攻撃しました。ハッカーは従業員に偽の求人情報を送り、その従業員が電子メール内のリンクをクリックすると、その従業員のコンピュータがマルウェアに感染しました。
Lazarus Group によるこの航空宇宙企業への攻撃は、サイバースパイ活動が動機となっていました。ハッカーたちはおそらく会社から機密データを盗もうとしていました。