Хакеры Lazarus используют Log4j для взлома энергетических компаний США
10 сентября 2022 г.По сообщениям, поставщики электроэнергии со всего мира, включая США, Канаду и Японию, стали жертвами спонсируемой государством северокорейской хакерской группы Lazarus, также известной как APT38.
Согласно группа Talos Intelligence компании Cisco, кампания направлена на проникновение в организации по всему миру. мира в интересах установления долгосрочного доступа и последующей кражи данных, представляющих интерес для национального государства.
Хотя точные цели остались неназванными, атаки еще раз показывают угрозу, которую Северная Корея и Lazarus могут позируют с помощью усилий по дестабилизации.
Как сработала атака?
По словам Talos, эта кампания включала использование уязвимостей в продукте виртуальных рабочих столов VMWare Horizon для первоначального закрепления в целевых организациях.
После успешного входа в целевые корпоративные сети группа затем развернули специальные вредоносные имплантаты, включая HTML-ботов VSingle и YamaBot.
Помимо этих известных семейств вредоносных программ, они также заявили, что обнаружили использование ранее неизвестного вредоносного имплантата под названием «MagicRAT».
< p>По сообщениям, первоначальный вход в организации был сделан с использованием Log4Shell (CVE-2021-44228), уязвимости нулевого дня в Log4j, популярной среде ведения журналов Java, которая включает выполнение произвольного кода.Компания по кибербезопасности Tenable ранее называл Log4Shell «самой большой и самой критической уязвимостью за всю историю».
Это не первый случай, когда Северная Корея замешана в нападениях на иностранные державы. Исследователи безопасности из «Лаборатории Касперского» связали Северную Корею с атакой программы-вымогателя Wannacry, которая вывела из строя 300 000 компьютеров в 150 странах и вызвала беспрецедентные проблемы в NHS Великобритании.
С момента своего основания в 2010 году группа Lazarus, безусловно, была занята, если не больше. В последнее время компания обратила свое внимание на мир блокчейнов и DeFi.
Lazarus был связан с атакой на сайдчейн Ronin стоимостью 615 миллионов долларов, на котором основана популярная игра Axie Infinity, интегрированная с блокчейном. известен как один из крупнейших взломов DefI на сегодняшний день.
- Боитесь, что хакеры проникнут в вашу организацию? Ознакомьтесь с нашим руководством по лучшей защите конечных точек.
Оригинал