Grupo norte-coreano Lazarus hackeou fornecedores de energia em todo o mundo

Grupo norte-coreano Lazarus hackeou fornecedores de energia em todo o mundo entre fevereiro e julho de 2022.

Uma campanha maliciosa conduzida pelo ator norte-coreano Lazarus Group teve teve como alvo fornecedores de energia em todo o mundo entre fevereiro e julho de 2022.

A campanha foi divulgada parcialmente pela Symantec e AhnLab em abril e maio, respectivamente, mas a Cisco Talos agora está fornecendo mais detalhes sobre ela.

Escrevendo em um comunicado na semana passada, os pesquisadores de segurança disseram que a campanha do Lazarus envolveu a exploração de vulnerabilidades no VMWare Horizon para obter acesso inicial às organizações-alvo.

“O vetor inicial foi a exploração da vulnerabilidade Log4j em servidores VMware Horizon expostos. A pós-exploração bem-sucedida levou ao download de seu kit de ferramentas de servidores web“, escreveu a equipe.

“Na maioria dos casos, os invasores instrumentaram o shell reverso para criar suas próprias contas de usuário nos terminais aos quais tiveram acesso inicial.“

Em termos das ferramentas usadas nesses ataques, a Cisco Talos disse que descobriu o uso de duas famílias de malware conhecidas, VSingle e YamaBot, juntamente com a implantação de um implante recentemente divulgado que eles chamaram de ‘MagicRAT’.

“Depois que os backdoors e os implantes persistiram e foram ativados no endpoint, o shell reverso é usado para realizar a limpeza[…], isso incluiu a exclusão de todos os arquivos na pasta de infecção junto com o encerramento das tarefas do PowerShell“, explicou Cisco Talos.

“As contas criadas pelo invasor foram removidas e, finalmente, os logs de eventos do Windows […] seriam eliminados.“

De acordo com a Cisco Talos, as organizações visadas nos recentes ataques do Lazarus incluíam fornecedores de energia de diferentes países, incluindo EUA, Canadá e Japão.

“A campanha destina-se a se infiltrar em organizações em todo o mundo para estabelecer acesso de longo prazo e, posteriormente, exfiltrar dados de interesse do estado-nação do adversário“, diz o artigo técnico.

O novo aviso Cisco Talos é apenas o mais recente de uma longa lista que descreve as operações de hackers do Lazarus Group durante o verão.

Em junho, a empresa de análise de blockchain Elliptic sugeriu que o agente da ameaça pode estar por trás do roubo de US$ 100 milhões da empresa de criptomoedas Harmony. Mais recentemente, o The Block conectou o grupo ao hack de US$ 600 milhões da Axie Infinity .

Fonte: InfoSecurity Magazine

Veja também:

• Normas de segurança cibernética automotiva – ISO/SAE 21434 e mais
• Existe uma desconexão entre os líderes empresariais e as equipes de segurança?
• 5 elementos de ataque que todas as organizações devem monitorar
• Endpoint Protector by CoSoSys Ranked #1
• UE vs EUA: Quais são as diferenças entre suas leis de privacidade de dados?
• IBM: Ataques de ransomware causam danos psicológicos
• Microsoft atualiza as orientações para bugs do ‘ProxyNotShell’
• Consumidores dos EUA estão mais conscientes de segurança e privacidade
• Hackers roubam US$ 100 milhões da blockchain vinculada à Binance
• Hackers pedem R$45 Milhões de resgate à Record TV
• Podemos salvar as equipes de segurança de cargas de trabalho esmagadoras?
• Pesquisadores descobrem o Chaos, um botnet multifuncional Golang