Talos警告Lazarus黑客正利用Log4j漏洞入侵美国能源公司

2022年09月09日 09:54 次阅读 稿源:cnBeta.COM 条评论

威胁情报研究机构 Cisco Talos 周四表示,其观察到 APT38(又名 Lazarus)在今年 2-7 月期间,针对美国、加拿大和日本的未具名能源供应商发起了攻击。研究发现,黑客利用了在 Log4j 中存在一年之久的漏洞(即 Log4Shell),来破坏暴露在互联网上的 VMware Horizon 服务器。

2.jpg

(来自:Cisco Talos

通过在受害企业网络上建立初始立足点,然后部署被称作“VSingle”的定制恶意软件和“ YamaBot”,以建立长期持久的访问。

早些时候,YamaBot 已被日本国家网络应急响应小组(CERT)认定与 Lazarus APT 组织有关。

3.jpg

今年 4 月,Symantec 率先披露这一间谍活动的细节,并将该行动归咎于“Stonefly”—— 这是另一个与 Lazarus 有部分重叠、且有朝方背景的黑客组织。

此外 Cisco Talos 观察到了一个名为“MagicRAT”、此前从未见过的远程访问木马(RAT),可知黑客利用这个归属于 Lazarus Group 的木马而开展了侦查并窃取凭据。

4.jpg

Talos 研究人员 Jung soo An、Asheer Malhotra 和 Vitor Ventura 写道:

这些攻击的主要目标,可能是建立对目前网络的长期访问权限,以开展朝方支持的间谍活动。

这项活动与历史上针对关键基础设施和能源公司的 Lazarus 入侵相一致,旨在建立长期获取专有知识产权的途径。

1.jpg

【背景资料】

Lazarus Group 被认定为一个有朝方背景、且出于经济动机的黑客组织,其以 2016 年针对索尼的黑客攻击、以及 2017 的 WannaCry 勒索软件活动而出名。

最近几个月,该组织又将目光瞄向了区块链和加密货币组织,比如从 Harmony 的 Horizon Bridge 窃取了 1 亿美元的加密资产、以及从 Ronin Network 盗走了 6.25 亿美元的加密货币。

后者是一个基于以太坊的侧链,专为《Axie Infinity》这款热门赚钱游戏而设计。7 月,美国政府悬赏千万美元征求包括 Lazarus 在内的威胁组织的成员信息、达到了美国国务院 4 月宣布的金额的两倍。

我们在FebBox(https://www.febbox.com/cnbeta) 开通了新的频道,更好阅读体验,更及时更新提醒,欢迎前来阅览和打赏。

对文章打分

Talos警告Lazarus黑客正利用Log4j漏洞入侵美国能源公司

2 (50%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      Top 10

      招聘

      created by ceallan