північнокорейські хакери Lazarus Group атакують енергетичні компанії по всьому світу

Відповідно до звіту команди дослідників з Cisco Talos, в період з лютого по червень 2022 року спостерігалися багаторазові хакерські атаки на постачальників електроенергії по всьому світу. Деякі шпигунські операції виявлені представниками кібербезпеки з Symantec і AhnLab, вони навіть визначили угруповання Stonefly, яка є підгрупою Lazarus , повідомляє The Hacker News 8 вересня 2022 року.

Шпигунські атаки, як підкреслили представники Cisco Talos, відбуваються за певним сценарієм, згідно з яким зловмисники проникають у «внутрішню структуру» організації, щоб отримати доступ до інформації з метою її крадіжки. Надалі витік може послужити в інтересах противника і проти «жертви».

Виявлені раніше атаки здійснені з використанням шпигунських програм, які впроваджуються в систему. Виявивши шкідливе програмне забезпечення Preft (dtrack) і NukeSped (Manuscrypt), представники кібербезпеки помилково припустили, що атаки буде легше відстежити, але хакери приступили до використання іншого інструментарію: VSingle, HTTP-бота, який виконує довільний код з віддаленої мережі, і бекдор Golang під назвою YamaBot.

З часом з'ясувалося, що хакери користуються новим трояном MagicRAT для віддаленого доступу. Його особливість в тому, що шкідлива програма «ухиляється» від виявлення. Початковий доступ до корпоративних мереж полегшується експлуатацією вразливостей у продуктах VMware (наприклад, Log4Shell) з кінцевою метою встановлення постійного доступу для здійснення дій на підтримку цілей уряду Північної Кореї.

Раніше «WorldBank.org.ua» розповів про те, що влада Португалії закрила сайт WT1SHOP через продаж вкрадених облікових даних і банківських карт.