黑客以招聘人员的身份攻击国防承包商的员工

美国网络安全和基础设施安全局（CISA）发布了一份新报告，警告各公司注意一种新的恶意软件，据报道，朝鲜黑客正利用这种软件监视政府合同公司的关键员工。

绰号盲罐，“高级远程访问特洛伊木马程序安装在受损计算机上时充当后门。

据美国联邦调查局和CISA称，朝鲜国家资助的黑客Lazarus Group（又名隐藏眼镜蛇）正在传播BLINDINGCAN，以“收集有关关键军事和能源技术的情报”

为了实现这一目标，攻击者首先识别高价值目标，对其社交和专业网络进行广泛研究，然后冒充招聘人员发送装有恶意软件的恶意文件，伪装成招聘广告和招聘信息。

然而，此类就业骗局和社会工程策略并非新鲜事，最近被发现被朝鲜黑客用于针对以色列国防部门的另一场类似网络间谍活动。

“他们在Linkedin上建立了虚假的个人资料，Linkedin是一个主要用于高科技行业求职的社交网络，”以色列外交部说。

“袭击者冒充人力资源部门的经理、首席执行官和主要官员，以及国际公司的代表，并联系以色列主要国防行业的员工，目的是展开讨论，并为他们提供各种就业机会。

“在发送工作邀请的过程中，攻击者试图破坏这些员工的计算机，渗透他们的网络并收集敏感的安全信息。攻击者还试图利用几家公司的官方网站入侵他们的系统。”

CISA报告称，攻击者正在通过多个国家受损的基础设施远程控制BLINDINGCAN恶意软件，使他们能够：

• 检索有关所有已安装磁盘的信息，包括磁盘类型和磁盘上的可用空间量
• 创建、启动和终止新进程及其主线程
• 搜索、读取、写入、移动和执行文件
• 获取并修改文件或目录时间戳
• 更改进程或文件的当前目录
• 从受感染的系统中删除恶意软件和与恶意软件相关的工件。

网络安全公司Trend Micro和ClearSky也在一份详细报告中记录了这场活动，解释如下：

“在感染后，攻击者收集了有关该公司活动和财务的情报，可能是为了试图从该公司窃取一些资金。间谍活动和盗窃资金的双重情况对朝鲜来说是独一无二的，朝鲜的情报机构既为其国家窃取信息，也为其国家窃取资金。”

根据这份报告，朝鲜袭击者不仅通过电子邮件联系目标，还进行了面对面的在线采访，主要是在Skype上。

研究人员说：“在民族国家间谍组织（APT）中，除了发送网络钓鱼电子邮件之外，保持直接联系相对较少；然而，正如本报告所示，拉扎勒斯已经采取了这种策略，以确保他们的攻击成功。”。

CISA发布了技术信息，以帮助检测和归因，并推荐了各种预防程序，以显著降低此类攻击的可能性。