Secondo i rapporti, i fornitori di energia di tutto il mondo, inclusi Stati Uniti, Canada e Giappone, sono stati attaccati dal gruppo di hacker nordcoreano Lazarus, noto anche come APT38.
Secondo il Talos Intelligence Group di Cisco (si apre in una nuova scheda), la campagna mira a infiltrarsi nelle organizzazioni di tutto il mondo con l'obiettivo di stabilire un accesso a lungo termine e successivamente esfiltrare dati di interesse per lo stato-nazione.
Sebbene gli obiettivi precisi rimangano senza nome, gli attacchi mostrano ancora una volta la minaccia che la Corea del Nord e Lazzaro possono rappresentare attraverso gli sforzi di destabilizzazione.
Come ha funzionato l'attacco?
Secondo Talos, questa campagna prevedeva lo sfruttamento delle vulnerabilità del prodotto desktop virtuale VMWare Horizon per prendere piede nelle organizzazioni mirate.
Dopo essere penetrato con successo in reti aziendali selezionate, il gruppo ha implementato impianti di malware personalizzati, inclusi i bot HTML VSingle e YamaBot.
Oltre a queste famiglie di malware note, hanno anche affermato di aver scoperto l'uso di un impianto di malware precedentemente sconosciuto chiamato "MagicRAT".
Secondo quanto riferito, l'accesso iniziale a Organizations è stato effettuato utilizzando Log4Shell (CVE-2021-44228), una vulnerabilità zero-day in Log4j, un popolare framework di registrazione Java, che prevede l'esecuzione di codice arbitrario.
La società di sicurezza informatica Tenable ha precedentemente definito Log4Shell "la vulnerabilità più grande e più critica di tutti i tempi".
Non sarebbe la prima volta che la Corea del Nord è coinvolta in attacchi contro potenze straniere; I ricercatori di Kaspersky Lab sulla sicurezza hanno collegato la Corea del Nord all'attacco ransomware Wannacry che ha disabilitato 300.000 computer in 150 paesi e ha causato problemi senza precedenti al servizio sanitario nazionale britannico.
Dalla sua creazione nel 2010, il gruppo Lázaro non ha smesso di funzionare. Ultimamente ha rivolto la sua attenzione al mondo della blockchain e della DeFi.
Lazarus è stato collegato a un attacco da 615 milioni di euro alla sidechain Ronin, che alimenta il popolare gioco blockchain Axie Infinity, noto come uno dei più grandi attacchi DefI fino ad oggi.
- Preoccupato per gli hacker che si infiltrano nella tua organizzazione? Consulta la nostra guida alla migliore protezione degli endpoint.