威脅情報研究機構CiscoTalos周四表示,其觀察到APT38(又名Lazarus)在今年2-7月期間,針對美國、加拿大和日本的未具名能源供應商發起攻擊。研究發現,黑客利用在Log4j中存在一年之久的漏洞(即Log4Shell),來破壞暴露在互聯網上的VMwareHorizon服務器。
(來自:Cisco Talos)
通過在受害企業網絡上建立初始立足點,然後部署被稱作“VSingle”的定制惡意軟件和“ YamaBot”,以建立長期持久的訪問。
早些時候,YamaBot 已被日本國傢網絡應急響應小組(CERT)認定與 Lazarus APT 組織有關。
今年 4 月,Symantec 率先披露這一間諜活動的細節,並將該行動歸咎於“Stonefly”—— 這是另一個與 Lazarus 有部分重疊、且有朝方背景的黑客組織。
此外 Cisco Talos 觀察到一個名為“MagicRAT”、此前從未見過的遠程訪問木馬(RAT),可知黑客利用這個歸屬於 Lazarus Group 的木馬而開展偵查並竊取憑據。
Talos 研究人員 Jung soo An、Asheer Malhotra 和 Vitor Ventura 寫道:
這些攻擊的主要目標,可能是建立對目前網絡的長期訪問權限,以開展朝方支持的間諜活動。
這項活動與歷史上針對關鍵基礎設施和能源公司的 Lazarus 入侵相一致,旨在建立長期獲取專有知識產權的途徑。
【背景資料】
Lazarus Group 被認定為一個有朝方背景、且出於經濟動機的黑客組織,其以 2016 年針對索尼的黑客攻擊、以及 2017 的 WannaCry 勒索軟件活動而出名。
最近幾個月,該組織又將目光瞄向區塊鏈和加密貨幣組織,比如從 Harmony 的 Horizon Bridge 竊取 1 億美元的加密資產、以及從 Ronin Network 盜走 6.25 億美元的加密貨幣。
後者是一個基於以太坊的側鏈,專為《Axie Infinity》這款熱門賺錢遊戲而設計。7 月,美國政府懸賞千萬美元征求包括 Lazarus 在內的威脅組織的成員信息、達到美國國務院 4 月宣佈的金額的兩倍。