هکرهای کره شمالی تأمین‌کنندگان انرژی را هدف گرفتند

سیسکو یک بدافزار سفارشی را در آخرین تلاش کره شمالی برای جاسوسی سایبری از تأمین‌کنندگان انرژی کشف کرد.

به گفته Cisco Talos، گروه Lazarus که توسط دولت کره شمالی حمایت می‌شود، پشت یک کمپین جدید جاسوسی سایبری با هدف سرقت اطلاعات و اسرار تجاری از تأمین‌کنندگان انرژی در سراسر ایالات متحده، کانادا و ژاپن است.

گروه Lazarus شاید بیشتر به خاطر حمله‌های سایبری WannaCry و تعداد زیادی دزدی ارزهای دیجیتال شناخته شده است و اکنون به دنبال بازارهای انرژی آشفته‌ای است که توسط دشمنانش اداره می‌شود.

در تحقیقات منتشر شده، محققان مؤسسه Talos می‌گویند که آن‌ها فعالیت‌های مخرب منتسب به گروه Lazarus را بین فوریه و جولای مشاهده کرده‌اند که کمپین‌های شناسایی و جاسوسی، قربانیان متعددی را هدف قرار دادند.

گفته می‌شود که همه این نفوذها با سوء استفاده از آسیب‌پذیری‌های Log4j در VMware Horizon توسط سرسپردگان سایبری Kim Jong Un آغاز می‌شود. مهاجمان پس از نفوذ به شبکه‌های شرکت‌های انرژی، افراد شرور یک یا چند مورد از سه بدافزار سفارشی را نصب می‌کنند.

تیم واکنش اضطراری کامپوتری (CERT) ژاپن دو بدافزار VSingle و YamaBot را در نفوذ هکرها به شبکه‌های شرکت‌های خود شناسایی کرده و به گروه Lazarus نسبت داده‌اند.

بدافزار VSingle کد دلخواه را از یک شبکه راه دور اجرا می‌کند و می‌تواند افزونه‌ها را دانلود و اجرا کند. به گزارش Talos، در این کمپین، گروه Lazarus از این بدافزار سفارشی برای اهداف مختلف شوم از جمله شناسایی، استخراج و سوء استفاده از در پشتی دستی استفاده کرده است.

در همین حال، YamaBot یک بدافزار است که به زبان Golang نوشته شده است و با استفاده از درخواست های HTTP با سرورهای فرمان و کنترل ارتباط برقرار می‌کند.

سومین بدافزار مورد استفاده این گروه هکر یک تروجان دسترسی از راه دور (RAT) است که قبلاً ناشناخته بود و Talos آن را کشف کرده است و آن را MagicRAT نامید و به گروه Lazarus نسبت داد.

محققان Talos نوشتند: در حالی که از نظر قابلیت RAT نسبتاً ساده است، اما به واسطه چهارچوب Qt ساخته شد، تنها با این هدف که تجزیه و تحلیل انسانی را سخت‌تر کند و تشخیص خودکار از طریق یادگیری ماشینی و اکتشافی کمتر امکان‌پذیر باشد.

بر اساس تحقیقات Talos، جاسوسان کره شمالی پس از نصب این بدافزارها، هر نوع اعمال مخرب را برای تقویت رژیم کیم انجام می‌دهند. این فعالیت‌ها شامل تلاش‌های بازیابی کلی‌تر و همچنین حرکت جانبی از طریق شبکه‌های شرکت‌های انرژی، سرقت اعتبار کارمندان و استخراج داده‌ها می‌شود.

https://cybersecuritynews.com/north-korean-apt-group-attacking-corporate-networks/