此前，该组织利用LinkedIn时，成功从Ronin Network (RON)区块链网络窃取了惊人的6.25亿美元。

ESET Research发布了一份报告，描述了新发现的来自Lazarus组织的网络间谍活动。这份由Peter Kálnai撰写的报告透露，Lazarus APT在此次活动中利用了专业社交网络平台LinkedIn，ESET认为这是该组织DreamJob行动的一部分。

据报道，攻击者通过冒充LinkedIn招聘人员来引诱一家西班牙航空航天公司的员工。他们的目标是出于个人目的使用公司计算机的公司员工。ESET的主要发现是Lazarus在这次活动中使用了一个先前未记录的后门，称为LightlessCan。

值得注意的是，自2019年以来，Lazarus集团对航天行业表现出了浓厚的兴趣。2019年11月，该组织以印度航天局为目标，恰逢印度进行“月船二号”登月尝试。

对于总部位于朝鲜的Lazarus集团来说，利用LinkedIn瞄准大公司并不是什么新鲜事。2022年7月，据透露，该团伙利用虚假的LinkedIn工作机会从Ronin Network (RON)窃取了6.25亿美元，Ronin Network是一个支持流行加密游戏Axie Infinity和Axie DAO的区块链网络。

对这种新型LightlessCan的进一步探索表明，它目前正处于进化阶段，是一种复杂的工具，在设计和操作方面展现出高度复杂的机制。这表明威胁行为者不断改进他们的攻击策略和工具，因为LightlessCan比其前身BlindingCan更加恶意。

该公司网络的首次访问是在2022年通过鱼叉式网络钓鱼攻击实现的，攻击者伪装成Meta招聘人员。他们通过LinkedIn消息功能联系了员工。受害者会收到两项编码挑战来完成招聘流程。该挑战必须在公司计算机上下载并执行。

第一个挑战是显示短语“Hello World!” 第二个挑战是打印斐波那契数列，其中每个数字都是前两个数字的总和。受害者预计会诱使他们执行木马PDF查看器来查看工作机会或连接带有IP地址和登录凭据的木马SSL/VPN客户端，从而自我损害系统。

据ESET称，多名员工成为了这种技术的目标。要求目标通过完成挑战/测验来证明他们对C++编程的熟练程度。招聘人员发送两个名为Quiz1.exe和Quiz2.exe的可执行文件。这些可执行文件通过两个映像文件（Quiz1.iso和Quiz2.iso）提供。这些文件托管在第三方云存储平台上，是需要用户输入的基本命令行应用程序。

在攻击链的最后阶段，攻击者使用HTTP(S)下载程序NickelLoader感染系统，以将任何程序部署到受感染系统的内存中。

通过NickelLoader，他们提供了两种RAT，Lazarus的旗舰工具包BlindingCan后门的简化版本miniBlindingCan和名为LightlessCan的新工具ESET。这是BlindingCan的后继者，支持多达68个不同的命令，并在自定义函数表中建立索引。

ESET检测到LightlessCan有两个版本。当前版本（1.0）仅支持48个命令，功能有限。它基于BlindingCan源代码，并进行了某些索引更改。

这个新工具包可以模仿几个本机Windows命令的功能，例如ping、ipconfig、systeminfo、sc、net，在RAT内实现谨慎执行，并具有增强的隐秘性，这使得检测/分析它成为一个巨大的挑战。

Outpost24的KrakenLabs经理Victor Acin对此问题发表了评论，并表示：“随着公司提高网络安全能力、实现基础设施现代化并整合技术，以传统方式利用漏洞变得越来越困难。这一点，以及发现应用程序逻辑及其编程中允许攻击者访问该服务器的错误，使得零日漏洞很少见。”

Acin补充道：“威胁行为者针对链接中最薄弱的部分（屏幕后面的用户）发起攻击，这并不奇怪。社会工程攻击是进入公司的最常见方式，而且随着社交媒体等来源的大量员工数据以及包含PII的泄露，每天都可以更轻松地组合出可靠的目标包。”

供您参考，Lazarus，又名隐藏眼镜蛇，是来自朝鲜的网络间谍组织。它于2009年首次被发现，并成功实施了数起备受瞩目的事件，包括索尼影视娱乐黑客攻击（2016年）和WanaCryptor又名WannaCry攻击（2017年）。

对于Lazarus等朝鲜资助的APT组织来说，航空航天公司并不是不寻常的目标，因为他们希望获取敏感技术并从网络攻击中获取资金，以进一步发展朝鲜的导弹。