威脅情報研究機構 Cisco Talos 周四表示,其觀察到 APT38(又名 Lazarus)在今年 2-7 月期間,針對美國、加拿大和日本的未具名能源供應商發起了攻擊。研究發現,黑客利用了在 Log4j 中存在一年之久的漏洞(即 Log4Shell),來破壞暴露在互聯網上的 VMware Horizon 服務器。
(來自:Cisco Talos)
通過在受害企業網絡上建立初始立足點,然後部署被稱作“VSingle”的定製惡意軟件和“ YamaBot”,以建立長期持久的訪問。
早些時候,YamaBot 已被日本國家網絡應急響應小組(CERT)認定與 Lazarus APT 組織有關。
今年 4 月,Symantec 率先披露這一間諜活動的細節,並將該行動歸咎於“Stonefly”—— 這是另一個與 Lazarus 有部分重疊、且有朝方背景的黑客組織。
此外 Cisco Talos 觀察到了一個名為“MagicRAT”、此前從未見過的遠程訪問木馬(RAT),可知黑客利用這個歸屬於 Lazarus Group 的木馬而開展了偵查並竊取憑據。
Talos 研究人員 Jung soo An、Asheer Malhotra 和 Vitor Ventura 寫道:
這些攻擊的主要目標,可能是建立對目前網絡的長期訪問權限,以開展朝方支持的間諜活動。
這項活動與歷史上針對關鍵基礎設施和能源公司的 Lazarus 入侵相一致,旨在建立長期獲取專有知識產權的途徑。
【背景資料】
Lazarus Group 被認定為一個有朝方背景、且出於經濟動機的黑客組織,其以 2016 年針對索尼的黑客攻擊、以及 2017 的 WannaCry 勒索軟件活動而出名。
最近幾個月,該組織又將目光瞄向了區塊鏈和加密貨幣組織,比如從 Harmony 的 Horizon Bridge 竊取了 1 億美元的加密資產、以及從 Ronin Network 盜走了 6.25 億美元的加密貨幣。
後者是一個基於以太坊的側鏈,專為《Axie Infinity》這款熱門賺錢遊戲而設計。7 月,美國政府懸賞千萬美元徵求包括 Lazarus 在內的威脅組織的成員信息、達到了美國國務院 4 月宣布的金額的兩倍。