多名網絡安全專傢已有相關證據表明,近期針對美國、加拿大、日本地區多傢能源公司的網絡間諜活動和有朝鮮背景的黑客集團Lazarus存在關聯。威脅情報公司CiscoTalos本周四表示,觀察到Lazarus(也稱之為APT38)於今年2-7月期間,對美國、加拿大和日本地區的多傢能源供應商發起攻擊。
根據思科的研究,黑客使用一年前曝光的 Log4j(也叫做 Log4jShell)漏洞,部署稱為“VSingle”和“YamaBot”的定制惡意軟件以建立長期持續訪問之後,入侵暴露在網絡上的 VMware Horizon 服務器,從而在受害者的企業網絡上建立初步立足點。惡意軟件 YamaBot 最近被日本國傢網絡應急響應小組(CERT)認為由 Lazarus APT 操縱。
賽門鐵克於今年 4 月首次披露這一間諜活動的細節,並將該行動歸咎於“Stonefly”,這是另一個與 Lazarus 有一些重疊的朝鮮黑客組織。
然而,Cisco Talos 還觀察到一個名為“MagicRAT”的以前未知的遠程訪問木馬(或 RAT),歸屬於 Lazarus Group,黑客使用該木馬進行偵察和竊取憑據。
Jung soo An、Asheer Malhotra、Vitor Ventura 等多位 Talos 安全專傢表示:“這些攻擊的主要目標可能是建立對受害者網絡的長期訪問權限,以進行間諜活動以支持朝鮮政府的目標。這項活動與 Lazarus 針對關鍵基礎設施和能源公司的歷史性入侵相一致,以建立長期獲取專有知識產權的途徑”。