多名网络安全专家已有相关证据表明,近期针对美国、加拿大、日本地区多家能源公司的网络间谍活动和有朝鲜背景的黑客集团 Lazarus 存在关联。威胁情报公司 Cisco Talos 本周四表示,观察到 Lazarus (也称之为 APT38)于今年 2-7 月期间,对美国、加拿大和日本地区的多家能源供应商发起了攻击。
根据思科的研究,黑客使用一年前曝光的 Log4j(也叫做 Log4jShell)漏洞,部署称为“VSingle”和“YamaBot”的定制恶意软件以建立长期持续访问之后,入侵暴露在网络上的 VMware Horizon 服务器,从而在受害者的企业网络上建立初步立足点。恶意软件 YamaBot 最近被日本国家网络应急响应小组(CERT)认为由 Lazarus APT 操纵。
赛门铁克于今年 4 月首次披露了这一间谍活动的细节,并将该行动归咎于“Stonefly”,这是另一个与 Lazarus 有一些重叠的朝鲜黑客组织。
然而,Cisco Talos 还观察到了一个名为“MagicRAT”的以前未知的远程访问木马(或 RAT),归属于 Lazarus Group,黑客使用该木马进行侦察和窃取凭据。
Jung soo An、Asheer Malhotra、Vitor Ventura 等多位 Talos 安全专家表示:“这些攻击的主要目标可能是建立对受害者网络的长期访问权限,以进行间谍活动以支持朝鲜政府的目标。这项活动与 Lazarus 针对关键基础设施和能源公司的历史性入侵相一致,以建立长期获取专有知识产权的途径”。