هکرهای کره شمالی تأمینکنندگان انرژی را هدف گرفتند
سیسکو یک بدافزار سفارشی را در آخرین تلاش کره شمالی برای جاسوسی سایبری از تأمینکنندگان انرژی کشف کرد.
به گفته Cisco Talos، گروه Lazarus که توسط دولت کره شمالی حمایت میشود، پشت یک کمپین جدید جاسوسی سایبری با هدف سرقت اطلاعات و اسرار تجاری از تأمینکنندگان انرژی در سراسر ایالات متحده، کانادا و ژاپن است.
گروه Lazarus شاید بیشتر به خاطر حملههای سایبری WannaCry و تعداد زیادی دزدی ارزهای دیجیتال شناخته شده است و اکنون به دنبال بازارهای انرژی آشفتهای است که توسط دشمنانش اداره میشود.
در تحقیقات منتشر شده، محققان مؤسسه Talos میگویند که آنها فعالیتهای مخرب منتسب به گروه Lazarus را بین فوریه و جولای مشاهده کردهاند که کمپینهای شناسایی و جاسوسی، قربانیان متعددی را هدف قرار دادند.
گفته میشود که همه این نفوذها با سوء استفاده از آسیبپذیریهای Log4j در VMware Horizon توسط سرسپردگان سایبری Kim Jong Un آغاز میشود. مهاجمان پس از نفوذ به شبکههای شرکتهای انرژی، افراد شرور یک یا چند مورد از سه بدافزار سفارشی را نصب میکنند.
تیم واکنش اضطراری کامپوتری (CERT) ژاپن دو بدافزار VSingle و YamaBot را در نفوذ هکرها به شبکههای شرکتهای خود شناسایی کرده و به گروه Lazarus نسبت دادهاند.
بدافزار VSingle کد دلخواه را از یک شبکه راه دور اجرا میکند و میتواند افزونهها را دانلود و اجرا کند. به گزارش Talos، در این کمپین، گروه Lazarus از این بدافزار سفارشی برای اهداف مختلف شوم از جمله شناسایی، استخراج و سوء استفاده از در پشتی دستی استفاده کرده است.
در همین حال، YamaBot یک بدافزار است که به زبان Golang نوشته شده است و با استفاده از درخواست های HTTP با سرورهای فرمان و کنترل ارتباط برقرار میکند.
سومین بدافزار مورد استفاده این گروه هکر یک تروجان دسترسی از راه دور (RAT) است که قبلاً ناشناخته بود و Talos آن را کشف کرده است و آن را MagicRAT نامید و به گروه Lazarus نسبت داد.
محققان Talos نوشتند: در حالی که از نظر قابلیت RAT نسبتاً ساده است، اما به واسطه چهارچوب Qt ساخته شد، تنها با این هدف که تجزیه و تحلیل انسانی را سختتر کند و تشخیص خودکار از طریق یادگیری ماشینی و اکتشافی کمتر امکانپذیر باشد.
بر اساس تحقیقات Talos، جاسوسان کره شمالی پس از نصب این بدافزارها، هر نوع اعمال مخرب را برای تقویت رژیم کیم انجام میدهند. این فعالیتها شامل تلاشهای بازیابی کلیتر و همچنین حرکت جانبی از طریق شبکههای شرکتهای انرژی، سرقت اعتبار کارمندان و استخراج دادهها میشود.
https://cybersecuritynews.com/north-korean-apt-group-attacking-corporate-networks/
