Severokorejští hackeři ze skupiny Lazarus útočí na poskytovatele energie po celém světě

Škodlivá kampaň organizovaná skupinou Lazarus napojenou na Severní Koreu se v období od února do července 2022 zaměřila na poskytovatele energií po celém světě, včetně těch, kteří sídlí ve Spojených státech, Kanadě a Japonsku.

„Cílem kampaně je infiltrovat organizace po celém světě za účelem zřízení dlouhodobého přístupu a následné exfiltrace dat, která jsou v zájmu národního státu protivníka,“ uvedla společnost Cisco Talos ve zprávě.

Některé prvky špionážních útoků se již dostaly na veřejnost, a to díky předchozím zprávám z dubna a května letošního roku společností Symantec a AhnLab, které vlastní Broadcom. Symantec operaci přisoudil skupině označované jako Stonefly, podskupině Lazarus, která je známá spíše jako Andariel, Guardian of Peace, OperationTroy a Silent Chollima.

Zatímco dříve tyto útoky vedly k zavádění implantátů Preft (alias Dtrack) a NukeSped (alias Manuscrypt), nejnovější vlna útoků je zajímavá tím, že využívá dva další malwary: VSingle, HTTP bot, který spouští libovolný kód ze vzdálené sítě, a backdoor Golang nazvaný YamaBot.

V kampani je také použit nový trojský kůň pro vzdálený přístup nazvaný MagicRAT, který se umí vyhnout detekci a dokáže spouštět další zátěže v infikovaných systémech.

„Ačkoli byla při obou útocích použita stejná taktika, výsledné nasazené malwarové implantáty se od sebe lišily, což ukazuje na širokou škálů malwarů, které má Lazarus k dispozici,“ uvedli výzkumníci Jung soo An, Asheer Malhotra a Vitor Ventura.

Počáteční přístup do podnikových sítí je umožněn pomocí zneužití zranitelností v produktech VMware (např. Log4Shell) s cílem získat trvalý přístup k provádění činností na podporu cílů severokorejské vlády. Využití systému VSingle v jednom řetězci útoku údajně umožnilo aktérovi hrozby provádět řadu aktivit, jako jsou průzkum, exfiltrace a manuální zpětné vniknutí, díky čemuž operátoři důkladně poznali prostředí oběti.

K dalším taktikám, které jsou pro skupinu vedle použití malwaru na míru typické, patří sběr pověření prostřednictvím nástrojů, jako jsou Mimikatz a Procdump, vypnutí antivirových komponent a průzkum služeb Active Directory, a dokonce i zahlazení stop po aktivaci zadních vrátek na koncovém zařízení.

Zdroj: The Hacker News