威脅情報(bào)研究機(jī)構(gòu) Cisco Talos 周四表示,其觀察到 APT38(又名 Lazarus)在今年 2-7 月期間,針對(duì)美國(guó)、加拿大和日本的未具名能源供應(yīng)商發(fā)起了攻擊。研究發(fā)現(xiàn),黑客利用了在 Log4j 中存在一年之久的漏洞(即 Log4Shell),來(lái)破壞暴露在互聯(lián)網(wǎng)上的 VMware Horizon 服務(wù)器。
(來(lái)自:Cisco Talos)
通過(guò)在受害企業(yè)網(wǎng)絡(luò)上建立初始立足點(diǎn),然后部署被稱作“VSingle”的定制惡意軟件和“ YamaBot”,以建立長(zhǎng)期持久的訪問(wèn)。
早些時(shí)候,YamaBot 已被日本國(guó)家網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(CERT)認(rèn)定與 Lazarus APT 組織有關(guān)。
今年 4 月,Symantec 率先披露這一間諜活動(dòng)的細(xì)節(jié),并將該行動(dòng)歸咎于“Stonefly”—— 這是另一個(gè)與 Lazarus 有部分重疊、且有朝方背景的黑客組織。
此外 Cisco Talos 觀察到了一個(gè)名為“MagicRAT”、此前從未見過(guò)的遠(yuǎn)程訪問(wèn)木馬(RAT),可知黑客利用這個(gè)歸屬于 Lazarus Group 的木馬而開展了偵查并竊取憑據(jù)。
Talos 研究人員 Jung soo An、Asheer Malhotra 和 Vitor Ventura 寫道:
這些攻擊的主要目標(biāo),可能是建立對(duì)目前網(wǎng)絡(luò)的長(zhǎng)期訪問(wèn)權(quán)限,以開展朝方支持的間諜活動(dòng)。 這項(xiàng)活動(dòng)與歷史上針對(duì)關(guān)鍵基礎(chǔ)設(shè)施和能源公司的 Lazarus 入侵相一致,旨在建立長(zhǎng)期獲取專有知識(shí)產(chǎn)權(quán)的途徑。
【背景資料】
Lazarus Group 被認(rèn)定為一個(gè)有朝方背景、且出于經(jīng)濟(jì)動(dòng)機(jī)的黑客組織,其以 2016 年針對(duì)索尼的黑客攻擊、以及 2017 的 WannaCry 勒索軟件活動(dòng)而出名。
最近幾個(gè)月,該組織又將目光瞄向了區(qū)塊鏈和加密貨幣組織,比如從 Harmony 的 Horizon Bridge 竊取了 1 億美元的加密資產(chǎn)、以及從 Ronin.NETwork 盜走了 6.25 億美元的加密貨幣。
后者是一個(gè)基于以太坊的側(cè)鏈,專為《Axie Infinity》這款熱門賺錢游戲而設(shè)計(jì)。7 月,美國(guó)政府懸賞千萬(wàn)美元征求包括 Lazarus 在內(nèi)的威脅組織的成員信息、達(dá)到了美國(guó)國(guó)務(wù)院 4 月宣布的金額的兩倍。
