最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

朝鲜拉撒路黑客瞄准美国能源供应商

网络安全 快米云 来源:快米云 159浏览


朝鲜 APT 组织“Lazarus”(APT38) 正在利用 VMWare Horizo​​n 服务器访问美国、加拿大和日本的能源供应商的企业网络。

Lazarus 是国家支持的威胁行为者,以在过去十年中进行间谍活动、数据盗窃和加密货币窃取活动而闻名。威胁行为者对国际上数百起复杂的攻击负责。

据发现最新行动的 Cisco Talos 研究人员称,Lazarus 在 2022 年 2 月至 2022 年 7 月期间针对能源组织,利用公共 VMWare Horizo​​n 漏洞进行初始访问。

从那里,他们使用了自定义恶意软件系列,例如“VSingle”和“YamaBot”,以及一个以前未知的名为“MagicRAT”的远程访问木马 (RAT),用于搜索和窃取受感染设备的数据。

赛门铁克的威胁猎手在 4 月分析了同一活动 ,在 5月分析了 ASEC 研究人员 。然而,思科的报告更深入地揭示了有关威胁参与者活动的更多细节。

多种攻击策略
Cisco Talos 展示了几种攻击策略,展示了 Lazarus 的最新技术、策略和程序 (TTP),并突出了复杂黑客组织的多功能性。

在第一种情况下,威胁参与者利用易受 Log4Shell 漏洞攻击的 VMWare 服务器运行 shellcode,该 shellcode 建立了一个反向 shell,用于在受感染的端点上运行任意命令。

竞选活动中 Lazarus 的感染链之一 (Cisco Talos)
由于 VMWare Horizo​​n 以高权限运行,Lazarus 可以在部署 VSingle 之前通过注册表项修改、WMIC 和 PowerShell 命令停用 Windows Defender。

VSingle 后门支持高级网络侦察命令,为窃取凭据做好准备,在主机上创建新的管理员用户,最后与 C2 建立反向 shell 连接以获取丰富其功能的插件。

VSingle 感染链 (Cisco Talos)
在报告中介绍的第二个案例中,涉及不同的受害者,初始访问和侦察遵循类似的模式,但这一次,黑客将 MagicRAT 与 VSingle 一起丢弃。

Talos昨天在 MagicRAT 上发表了一篇单独的帖子,详细介绍了这个以前看不见的木马的所有功能。

MagicRAT 可以通过执行硬编码命令自行建立持久性,这些命令创建所需的计划任务、帮助系统侦察以及从 C2 获取其他恶意软件,例如 TigerRAT。


MagicRAT 用于持久性的命令 (Cisco Talos)
在第三个入侵案例中,Lazarus 部署了 YamaBot,这是一种用 Go 编写的自定义恶意软件,具有标准 RAT 功能,例如:

列出文件和目录。
将过程信息发送到 C2。
从远程位置下载文件。
在端点上执行任意命令。
自行卸载
日本 CERT于 2022 年 7 月将 YamaBot 与 Lazarus 联系起来,突出了其加密的 C2 通信能力。

Lazarus 攻击链多样化不仅限于最终的恶意软件有效负载,还扩展到代理或反向隧道工具和凭证收集技术。

在某些情况下,黑客使用 Mimikatz 和 Procdump 工具,而在其他情况下,他们窃取了包含 AD 凭据的注册表配置单元的副本。

“在一个实例中,攻击者试图通过 PowerShell cmdlet 获取一个端点上的 Active Directory 信息。然而,一天后,攻击者使用 adfind.exe 在同一端点上提取了类似的信息,” Cisco Talos 在报告中解释道。

这些变化背后的想法是混合 TTP,使事件响应者的归因、检测和防御更具挑战性。

正如本报告中强调的那样,Lazarus 受到网络安全公司的密切监控,因此他们不能懒惰地使攻击链多样化。

这种攻击的多样化体现在 Lazarus 黑客的广泛攻击中,包括针对 IT 求职者、创建虚假加密货币交易应用程序、创建 木马开发工具、使用勒索软件作为诱饵以及巨额6.2 亿美元的攻击。 Ronin 桥上的加密货币盗窃案 。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 朝鲜拉撒路黑客瞄准美国能源供应商