Тушите свет: северокорейская группировка Lazarus Group атакует энергетические компании по всему миру
Чтобы проникнуть в сети жертвы и закрепиться там, злоумышленники используют Log4Shell.
Исследователи из Cisco Talos сообщили, что в период с февраля по июль этого года они зафиксировали множество атак Lazarus (они же APT38) на неназванных поставщиков электроэнергии в США, Канаде и Японии. По словам специалистов, хакеры используют Log4Shell, уязвимость годичной давности в Log4j, чтобы скомпрометировать серверы VMware Horizon, которые подключены к интернету. После этого злоумышленники закреплялись в сетях жертвы и развертывали специальные вредоносы – VSingle и YamaBot, позволяющие установить надежный доступ к системам жертв.
Впервые об этой компании сообщила компания Symantec в апреле 2022 года и связала атаки с группировкой Stonefly, которая косвенно связана с Lazarus.
Кроме того, исследователи Cisco Talos совсем недавно обнаружили новый троян удаленного доступа (RAT) под названием MagicRAT, который хакеры используют для разведки и кражи учетных данных.
По мнению специалистов, в ходе этой вредоносной кампании злоумышленники пытались установить надежный доступ к сетям жертв для проведения кибершипионских операций в пользу Северной Кореи.
Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!