Grupo norte-coreano Lazarus hackeou fornecedores de energia em todo o mundo

Grupo norte-coreano Lazarus hackeou fornecedores de energia em todo o mundo entre fevereiro e julho de 2022.

Uma campanha maliciosa conduzida pelo ator norte-coreano Lazarus Group teve teve como alvo fornecedores de energia em todo o mundo entre fevereiro e julho de 2022.

A campanha foi divulgada parcialmente pela Symantec e AhnLab em abril e maio, respectivamente, mas a Cisco Talos agora está fornecendo mais detalhes sobre ela.

Escrevendo em um comunicado na semana passada, os pesquisadores de segurança disseram que a campanha do Lazarus envolveu a exploração de vulnerabilidades no VMWare Horizon para obter acesso inicial às organizações-alvo.

O vetor inicial foi a exploração da vulnerabilidade Log4j em servidores VMware Horizon expostos. A pós-exploração bem-sucedida levou ao download de seu kit de ferramentas de servidores web“, escreveu a equipe.

Na maioria dos casos, os invasores instrumentaram o shell reverso para criar suas próprias contas de usuário nos terminais aos quais tiveram acesso inicial.

Em termos das ferramentas usadas nesses ataques, a Cisco Talos disse que descobriu o uso de duas famílias de malware conhecidas, VSingle e YamaBot, juntamente com a implantação de um implante recentemente divulgado que eles chamaram de ‘MagicRAT’.

Depois que os backdoors e os implantes persistiram e foram ativados no endpoint, o shell reverso é usado para realizar a limpeza[…], isso incluiu a exclusão de todos os arquivos na pasta de infecção junto com o encerramento das tarefas do PowerShell“, explicou Cisco Talos.

As contas criadas pelo invasor foram removidas e, finalmente, os logs de eventos do Windows […] seriam eliminados.

De acordo com a Cisco Talos, as organizações visadas nos recentes ataques do Lazarus incluíam fornecedores de energia de diferentes países, incluindo EUA, Canadá e Japão.

A campanha destina-se a se infiltrar em organizações em todo o mundo para estabelecer acesso de longo prazo e, posteriormente, exfiltrar dados de interesse do estado-nação do adversário“, diz o artigo técnico.

O novo aviso Cisco Talos é apenas o mais recente de uma longa lista que descreve as operações de hackers do Lazarus Group durante o verão.

Em junho, a empresa de análise de blockchain Elliptic sugeriu que o agente da ameaça pode estar por trás do roubo de US$ 100 milhões da empresa de criptomoedas Harmony. Mais recentemente, o The Block conectou o grupo ao hack de US$ 600 milhões da Axie Infinity .

Fonte: InfoSecurity Magazine

Veja também:

Sobre mindsecblog 1873 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!