威脅情報研究機構 Cisco Talos 周四表示,其觀察到 APT38(又名 Lazarus)在今年 2-7 月期間,針對美國、加拿大和日本的未具名能源供應商發起了攻擊。研究發現,黑客利用了在 Log4j 中存在一年之久的漏洞(即 Log4Shell),來破壞暴露在網際網路上的 VMware Horizon 伺服器。
(來自:Cisco Talos)
通過在受害企業網絡上建立初始立足點,然後部署被稱作“VSingle”的定制惡意軟體和“ YamaBot”,以建立長期持久的通路。
早些時候,YamaBot 已被日本國家網絡應急響應小組(CERT)認定與 Lazarus APT 組織有關。
今年 4 月,Symantec 率先披露這一間諜活動的細節,并将該行動歸咎于“Stonefly”—— 這是另一個與 Lazarus 有部分重疊、且有朝方背景的黑客組織。
此外 Cisco Talos 觀察到了一個名為“MagicRAT”、此前從未見過的遠端通路木馬(RAT),可知黑客利用這個歸屬于 Lazarus Group 的木馬而開展了偵查并竊取憑據。
Talos 研究人員 Jung soo An、Asheer Malhotra 和 Vitor Ventura 寫道:
這些攻擊的主要目标,可能是建立對目前網絡的長期通路權限,以開展朝方支援的間諜活動。
這項活動與曆史上針對關鍵基礎設施和能源公司的 Lazarus 入侵相一緻,旨在建立長期擷取專有知識産權的途徑。
【背景資料】
Lazarus Group 被認定為一個有朝方背景、且出于經濟動機的黑客組織,其以 2016 年針對索尼的黑客攻擊、以及 2017 的 WannaCry 勒索軟體活動而出名。
最近幾個月,該組織又将目光瞄向了區塊鍊和加密貨币組織,比如從 Harmony 的 Horizon Bridge 竊取了 1 億美元的加密資産、以及從 Ronin Network 盜走了 6.25 億美元的加密貨币。
後者是一個基于以太坊的側鍊,專為《Axie Infinity》這款熱門賺錢遊戲而設計。7 月,美國政府懸賞千萬美元征求包括 Lazarus 在内的威脅組織的成員資訊、達到了美國國務院 4 月宣布的金額的兩倍。