سیسکو یک بدافزار سفارشی را در آخرین تلاش کره شمالی برای جاسوسی سایبری از تأمینکنندگان انريی کشف کرد.
سیسکو یک بدافزار سفارشی را در آخرین تلاش کره شمالی برای جاسوسی سایبری از تأمینکنندگان انريی کشف کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به گفته سیسکو تالو، گروه لازاروس (Lazarus) که توسط دولت کره شمالی حمایت میشود، پشت یک کمپین جدید جاسوسی سایبری با هدف سرقت اطلاعات و اسرار تجاری از تأمینکنندگان انرژی در سراسر ایالات متحده، کانادا و ژاپن است.
گروه لازاروس شاید بیشتر به خاطر حملههای سایبری WannaCry و تعداد زیادی دزدی ارزهای دیجیتال شناخته شده است و اکنون به دنبال بازارهای انرژی آشفتهای است که توسط دشمنانش اداره میشود.
در تحقیقی که امروز منتشر شد، محققان مؤسسه Talos میگویند که آنها فعالیتهای مخرب منتسب به گروه لازاروس را بین فوریه و جولای مشاهده کردهاند. محققان جونگ سو آن، آشیر مالهوترا و ویتور ونتورا نوشتند که کمپینهای شناسایی و جاسوسی قربانیان متعددی را هدف قرار دادند.
گفته میشود که همه این نفوذها با سوء استفاده از آسیبپذیریهای Log4j در VMware Horizon توسط سرسپردگان سایبری کیم جونگ اون آغاز میشود. مهاجمان پس از نفوذ به شبکههای شرکتهای انرژی، افراد شرور یک یا چند مورد از سه بدافزار سفارشی را نصب میکنند.
تیم واکنش اضطراری کامپوتری (CERT) ژاپن دو بدافزار VSingle و YamaBot را در نفوذ هکرها به شبکههای شرکتهای خود شناسایی کرده و به گروه لازاروس نسبت دادهاند.
بدافزار VSingle کد دلخواه را از یک شبکه راه دور اجرا میکند و میتواند افزونهها را دانلود و اجرا کند. به گزارش Talos، در این کمپین، گروه لازاروس از این بدافزار سفارشی برای اهداف مختلف شوم از جمله شناسایی، استخراج و سوء استفاده از در پشتی دستی استفاده کرده است.
در همین حال، YamaBot یک بدافزار است که به زبان Golang نوشته شده است و با استفاده از درخواست های HTTP با سرورهای فرمان و کنترل ارتباط برقرار میکند.
سومین بدافزار مورد استفاده این گروه هکر یک تروجان دسترسی از راه دور (RAT) است که قبلاً ناشناخته بود و Talos آن را کشف کرده است و آن را MagicRAT نامید و به گروه لازاروس نسبت داد.
محققان Talos در وبلاگی نوشتند: در حالی که از نظر قابلیت RAT نسبتاً ساده است، اما به واسطه چهارچوب Qt ساخته شد، تنها با این هدف که تجزیه و تحلیل انسانی را سختتر کند و تشخیص خودکار از طریق یادگیری ماشینی و اکتشافی کمتر امکانپذیر باشد.
بر اساس تحقیقات تالوس، جاسوسان کره شمالی پس از نصب این بدافزارها، هر نوع اعمال مخرب را برای تقویت رژیم کیم انجام میدهند. این فعالیتها شامل تلاشهای بازیابی کلیتر و همچنین حرکت جانبی از طریق شبکههای شرکتهای انرژی، سرقت اعتبار کارمندان و استخراج دادهها میشود.