HackerNews 编译，转载请注明出处： 韩国至少有六家机构已成为黑客组织“Lazarus Group”的攻击目标，此次行动代号为“SyncHole行动”。 根据卡巴斯基今日发布的报告，该活动针对韩国的软件、IT、金融、半导体制造和电信行业。最早的入侵证据于2024年11月首次被发现。 安全研究人员Ryu Sojun和Vasily Berdnikov表示：“此次行动采用了水坑攻击策略与韩国本土软件漏洞利用的复杂组合。攻击者还利用Innorix Agent的一个一日漏洞进行横向移动。” 观察到的攻击为多个已知Lazarus工具变种铺平了道路，包括ThreatNeedle、AGAMEMNON、wAgent、SIGNBT和COPPERHEDGE。这些入侵之所以特别有效，很可能是因为攻击者利用了韩国广泛使用的合法软件Cross EX的安全漏洞。该软件用于在线银行和政府网站支持防键盘记录和基于证书的数字签名。 俄罗斯网络安全厂商表示：“Lazarus Group展现出对这些技术细节的深刻理解，并采用针对韩国的组合策略——将该类软件漏洞与水坑攻击相结合。” 值得注意的是，攻击者利用Innorix Agent的安全漏洞进行横向移动，因为Lazarus Group的Andariel子集群过去曾采用类似手法传播Volgmer和Andardoor等恶意软件。 最新攻击浪潮的起点是水坑攻击，当目标访问多个韩国在线媒体网站后即激活ThreatNeedle的部署。在将访问者重定向到攻击者控制的域名之前，会使用服务器端脚本对访问者进行筛选。 研究人员表示：“我们以中等可信度评估，被重定向的网站可能执行了恶意脚本，针对目标PC上安装的Cross EX的潜在漏洞发起攻击并启动恶意软件。该脚本最终执行了合法的SyncHost.exe，并向该进程注入加载ThreatNeedle变种的shellcode。” 观察到的感染链分为两个阶段：早期使用ThreatNeedle和wAgent，随后通过SIGNBT和COPPERHEDGE建立持久性、进行侦察活动，并在受感染主机上部署凭证转储工具。 攻击中还部署了用于受害者画像和有效载荷投递的LPEClient恶意软件家族，以及名为Agamemnon的下载器——该工具可从命令与控制（C2）服务器下载并执行额外有效载荷，同时采用“地狱之门（Hell’s Gate）”技术在执行期间绕过安全解决方案。 Agamemnon下载的有效载荷之一是通过利用Innorix Agent文件传输工具安全漏洞实现横向移动的专用工具。卡巴斯基称其调查发现了Innorix Agent中另一个未公开的任意文件下载零日漏洞，目前该漏洞已被开发者修复。 卡巴斯基警告称：”预计拉Lazarus Group针对韩国供应链的专业化攻击未来将持续存在。攻击者正通过开发新恶意软件或增强现有恶意软件来尽量减少被检测风险，特别是在改进与C2的通信方式、命令结构及数据收发模式方面投入大量精力。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： OKX Web3 决定暂停其去中心化交易所（DEX）聚合器服务，以实施安全升级。此前有报道称，臭名昭著的朝鲜 Lazarus 黑客利用该服务进行了一次 15 亿美元的加密货币盗窃。 OKX 是一家领先的全球加密货币交易所，提供广泛的交易选项，包括现货和衍生品交易以及去中心化金融（DeFi）服务。截至 2024 年 12 月，OKX 在中心化交易所中占据全球现货交易市场份额的约 8.0%，月交易量约为 2300 亿美元，是全球顶级交易所之一。 去中心化交易所（DEX）聚合器是一个从多个 DEX 中获取流动性以提供最佳交易价格和减少滑点的平台。 在 Lazarus 组织创纪录的 15 亿美元 Bybit 加密货币盗窃后，据报道该组织试图利用 OKX 的 DEX 洗白 1 亿美元的被盗加密货币。 据彭博社报道，这引发了欧盟监管机构的调查。然而，OKX 否认了这些说法，称他们冻结了进入中心化交易所（CEX）的相关资金，并指责 Bybit 传播虚假信息。 “最近，我们发现 Lazarus 组织协调滥用我们的 DeFi 服务，”OKX 今日早些时候发布的公告中写道。 “同时，我们注意到旨在破坏我们工作的竞争攻击有所增加。我们选择采取果断行动，而不是退缩。” 今日，OKX 确认 Lazarus 一直在滥用其服务，需要一些停机时间来实施足够的防御措施以阻止这些活动。 “在与监管机构协商后，我们主动决定暂时暂停 DEX 聚合器服务。此举使我们能够实施额外的升级，以防止进一步的滥用，”OKX 解释道。 第一项措施是启动一个系统，以识别和跟踪 Web3 DEX 聚合器上与黑客相关的地址。 第二项关键措施是实时阻止这些地址在中心化交易所（CEX）上，以切断 Lazarus 的活动。 OKX 表示正在与区块链浏览器合作，确保交易得到正确标记，防止交易来源混淆并提高安全性。 加密货币交易所平台通过这些和其他措施寻求增强安全性、透明度和监管合规性。 目前尚不清楚 Lazarus 是否会找到绕过这些措施的方法，或者朝鲜黑客是否会转向其他安全标准较低的交易所。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名朝鲜黑客组织Lazarus近日被曝在npm（Node包管理器）平台投放6个恶意软件包，目前已累计被下载330次。这些软件包通过窃取账户凭证、部署后门程序等手段，专门针对加密货币敏感信息实施窃取。 网络安全公司Socket研究团队发现，此次攻击行动与Lazarus组织过往的软件供应链攻击模式高度吻合。该组织长期潜伏于npm、GitHub和PyPI（Python软件包索引）等开发者平台，通过投毒攻击渗透目标系统。其惯用手法曾导致Bybit交易所遭遇15亿美元加密货币盗窃案，创下历史最高纪录。 六大恶意软件包特征   本次发现的恶意软件包均采用”仿冒拼写”策略诱导开发者误装：   1. is-buffer-validator：仿冒流行库is-buffer，实施凭证窃取   2. yoojae-validator：伪装验证工具窃取系统敏感数据   3. event-handle-package：伪装事件处理工具部署远程后门   4. array-empty-validator：窃取系统及浏览器凭证   5. react-event-dependency：伪装React工具植入恶意程序   6. auth-validator：窃取登录凭证与API密钥   据Socket报告披露，这些软件包内嵌的恶意代码具备多重窃取功能，包括劫持Chrome、Brave、Firefox浏览器的登录数据、Cookies及历史记录，窃取macOS系统密钥链信息，针对Solana钱包的id.json文件及Exodus钱包文件实施定向窃取，包括植入朝鲜黑客惯用的”BeaverTail”恶意软件和”InvisibleFerret”后门程序。 目前所有恶意软件包仍存在于npm及GitHub平台。安全专家建议开发者严格审查项目依赖包来源，重点排查开源代码中的混淆代码、非常规服务器连接请求并警惕名称与知名库相似的软件包。 此次事件再次凸显软件供应链安全风险。Lazarus组织自2023年起持续活跃，其攻击范围已覆盖金融、加密货币等多个关键领域。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 SecurityScorecard 报道，朝鲜威胁组织 Lazarus Group 被发现与一种此前未被记录的 JavaScript 植入程序 Marstech1 有关，该程序被用于针对开发者的有限定向攻击。 SecurityScorecard 将此活跃行动称为 “Marstech Mayhem”，恶意软件通过 GitHub 上一个名为 “SuccessFriend” 的开源仓库传播。该账户自2024年7月起活跃，目前已无法在代码托管平台上访问。 该植入程序旨在收集系统信息，可嵌入网站和 NPM 包中，带来供应链风险。证据显示，该恶意软件最早于2024年12月底出现。此次攻击已在美国、欧洲和亚洲确认有233名受害者。 “该账户提到了网络开发技能和学习区块链，这与 Lazarus 的兴趣一致，”SecurityScorecard 表示。“威胁行为者将预混淆和混淆后的有效载荷提交到多个 GitHub 仓库。” 有趣的是，GitHub 仓库中的植入程序与直接从命令与控制（C2）服务器 74.119.194[.]129:3000/j/marstech1 提供的版本不同，表明其可能正处于积极开发中。 其主要任务是在各种操作系统中搜索基于 Chromium 的浏览器目录，并更改与扩展相关的设置，特别是与 MetaMask 加密货币钱包相关的设置。它还能够从同一服务器的 3001 端口下载额外的有效载荷。 该恶意软件还针对 Windows、Linux 和 macOS 上的 Exodus 和 Atomic 钱包。捕获的数据随后被窃取到 C2 端点 “74.119.194[.]129:3000/uploads”。 SecurityScorecard 威胁研究与情报高级副总裁 Ryan Sherstobitoff 告诉《黑客新闻》，恶意 JavaScript 文件还被植入到某些属于加密货币项目的 NPM 包中。 “Marstech1 植入程序的引入，其分层混淆技术——从 JavaScript 中的控制流扁平化和动态变量重命名到 Python 中的多阶段异或解密——突显了威胁行为者在逃避静态和动态分析方面的复杂方法，”该公司表示。 与此同时，Recorded Future 披露，在2024年10月至11月期间，至少有三家与加密货币领域相关的公司——一家做市公司、一家在线赌场和一家软件开发公司——成为 “Contagious Interview” 活动的目标。 这家网络安全公司正在跟踪名为 PurpleBravo 的集群，称其背后的朝鲜 IT 工作者是网络间谍活动的幕后黑手。该活动还被追踪为 CL-STA-0240、Famous Chollima 和 Tenacious Pungsan。 “无意中雇佣朝鲜 IT 工作者的组织可能违反了国际制裁，使自己面临法律和财务后果，”该公司表示。“更严重的是，这些工人几乎肯定会作为内部威胁，窃取专有信息、引入后门或协助更大的网络行动。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

卡巴斯基研究人员观察到，与朝鲜有关的Lazarus Group在一个月的时间里至少针对了两名与同一核相关组织有关的员工。 专家们认为，这些攻击是网络间谍活动“梦想工作行动”（Operation Dream Job，又称NukeSped）的一部分，该行动自至少2020年以来一直在进行。 攻击者使用了复杂的感染链，包括多种类型的恶意软件，如下载器、加载器和后门。这个国家级行为者向两名员工发送了包含恶意文件的压缩文件。 Lazarus Group利用恶意ISO文件来逃避检测，部署了木马化的VNC软件，以传递如Ranid Downloader、MISTPEN、RollMid和LPEClient等恶意软件。 研究人员还在受感染的主机上发现了CookieTime恶意软件，该恶意代码在LPEClient安装后以SQLExplorer服务激活，最初执行C2命令，但现在主要用于下载有效载荷。 攻击者使用CookieTime下载了多种恶意软件，包括LPEClient、Charamel Loader、ServiceChanger和更新版的CookiePlus。Charamel Loader使用ChaCha20算法解密并加载如CookieTime、CookiePlus和ForestTiger等恶意软件。 攻击者使用ServiceChanger恶意软件停止了一个合法服务，在磁盘上存储恶意文件，并重启服务以通过侧加载加载恶意DLL。Lazarus Group针对ssh-agent服务使用了libcrypto.dll，与Kimsuky APT组织利用现有服务而不是注册新服务的方法不同。在某些情况下，CookieTime也通过DLL侧加载被加载，并且支持多种加载方法和不同的入口点。 “由于CookiePlus充当下载器，它的功能有限，并且只从受感染的主机向C2服务器传输最少的信息。在其与C2的初始通信中，CookiePlus生成了一个32字节的数据数组，其中包括其配置文件中的ID、特定偏移量和计算步骤标志数据。”报告中写道。 研究人员认为CookiePlus可能是MISTPEN的继任者。尽管两者没有代码重叠，但都伪装成Notepad++插件，并使用类似的策略，如利用TBaseInfo.dll和hiber.dll等插件。CookiePlus在2024年6月被编译和使用，看起来更为先进，与2024年初已知的MISTPEN样本相比，支持额外的执行选项。 Lazarus Group APT组织在大部分活动中使用了被破坏的WordPress网络服务器作为C2。这些服务器被MISTPEN、LPEClient、CookiePlus和RollMid恶意软件用作C2。然而，CookieTime只使用了一个基于WordPress的C2。所有已识别的C2托管了分布在不同国家的基于PHP的网络服务。 “在其历史上，Lazarus Group只使用了少量的模块化恶意软件框架，如Mata和Gopuram Loader。引入这种类型的恶意软件对他们来说是一种不寻常的策略。他们确实引入了新的模块化恶意软件，如CookiePlus，这表明该组织正在不断努力改进他们的武器库和感染链，以逃避安全产品的检测。”报告总结道。“对于防御者来说，问题是CookiePlus可以表现得像一个下载器。这使得调查CookiePlus是否只下载了一个小插件或下一个有意义的有效载荷变得困难。从我们的分析来看，它似乎仍在积极开发中，这意味着Lazarus Group未来可能会添加更多插件。”       消息来源：securityaffairs；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Microsoft安全威胁情报团队揭露了朝鲜黑客组织Lazarus发起的供应链攻击。这些黑客篡改台湾软件供应商讯连科技的应用程序安装档案，植入恶意功能。目前全球已有100多台设备受害，涉及中国台湾、日本、加拿大、美国等多个国家。 Microsoft通过跟踪木马软件和相关负载发现，此次恶意攻击行为有意避开了受FireEye 、 CrowdStrike 、 Tanium 等安全软件保护的系统，并企图于受害计算机下载伪装成PNG图档的第2阶段恶意负载。一旦在内存中解密并执行另一个可执行文件，黑客就尝试从C2接收命令。 这种攻击方法是Lazarus惯用的手法，他们以使用特洛伊木马合法加密货币软件窃取加密资产的恶劣行为而臭名昭著。 Lazarus黑客组织是一个由朝鲜资助的组织，已经运作了十多年。其行动包括窃取敏感数据、渗透软件构建环境、向下游推进以剥削更多受害者、建立对受害者环境的持续访问等。该组织还曾嵌入恶意代码在开源加密货币平台中，执行大规模的加密货币抢劫，以及使用虚假的工作面试来传播恶意软件等行为。 此外，Lazarus还被认为是许多备受瞩目的网络攻击的幕后黑手，包括2014年索尼影业黑客攻击、2017年的WannaCry勒索软件攻击以及2022年最大的加密黑客攻击。 美国政府已对朝鲜资助的三个黑客组织（Lazarus、Bluenoroff和Andariel）实施制裁，并提供高达500万美元的奖励以获取有关朝鲜黑客活动的信息。   转自E安全，原文链接：https://mp.weixin.qq.com/s/YvissjYZlc7GK365eYrR8Q 封面来源于网络，如有侵权请联系删除

英国国家网络安全中心 (NCSC) 和韩国国家情报院 (NIS) 警告称，朝鲜 Lazarus 黑客组织利用 MagicLine4NX 软件中的0day漏洞对企业进行供应链攻击。 MagicLine4NX是韩国Dream Security公司开发的一款安全认证软件，用于组织机构的安全登录。 根据联合网络安全咨询，朝鲜的APT组织利用产品中的0day漏洞来破坏其目标，主要是韩国机构。 该通报描述道：“2023 年 3 月，网络攻击者连续利用安全认证和网络链接系统的软件漏洞，对目标组织的内网进行未经授权的访问。  ” “它利用MagicLine4NX安全认证程序的软件漏洞首次入侵目标的联网计算机，并利用联网系统的0day漏洞进行横向移动并获得未经授权的访问。” 这次攻击首先侵入一家媒体网站，将恶意脚本嵌入文章中，从而引发“水坑”攻击。 当特定 IP 范围的特定目标访问受感染网站上的文章时，脚本会执行恶意代码以触发 MagicLine4NX 软件中的上述漏洞， 影响 1.0.0.26 之前的版本。 这导致受害者的计算机连接到攻击者的 C2（命令和控制）服务器，允许他们通过利用网络链接系统中的漏洞来访问互联网端服务器。 朝鲜APT黑客利用该系统的数据同步功能，将信息窃取代码传播到业务侧服务器，从而危害目标组织内的PC。 删除的代码连接到两台 C2 服务器，一台充当中间网关，另一台位于互联网外部。 恶意代码的功能包括侦察、数据泄露、从 C2 下载和执行加密的有效负载以及横向网络移动。 攻击链 （ncsc.go.kr） 有关这次攻击的详细信息，代号为“Dream Magic”，归因于 Lazarus APT组织，可以参考在这份AhnLab 报告，该报告仅提供韩语版本。 朝鲜官方背景的黑客组织始终依赖供应链攻击和利用0day漏洞作为其网络战策略的一部分。 2023 年 3 月，人们发现 Lazarus 的一个子组织“Labyrinth Chollima”对 VoIP 软件制造商 3CX进行了供应链攻击 ，破坏了全球多家知名公司的安全。 上周五， 微软披露了针对讯连科技的供应链攻击，Lazarus 黑客组织利用该攻击分发木马化、数字签名的讯连科技安装程序，用“LambLoad”恶意软件感染至少一百台计算机。 朝鲜黑客组织利用此类攻击来针对特定公司，无论是网络间谍活动、金融欺诈还是加密货币盗窃。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/xvxw5BamJoZjNDgJRw6hYw 封面来源于网络，如有侵权请联系删除

Lazarus 集团被认为是一场新活动的幕后黑手，在该活动中，一家未透露姓名的软件供应商通过利用另一款备受瞩目的软件中的已知安全漏洞而受到损害。 卡巴斯基表示，这些攻击序列最终导致了 SIGNBT 和LPEClient等恶意软件系列的部署，这是威胁行为者用来进行受害者分析和有效负载传输的已知黑客工具。 安全研究员 Seongsu Park表示：“对手表现出了高度的复杂性，他们采用了先进的规避技术，并引入了 SIGNBT 恶意软件来控制受害者。” “这次攻击中使用的 SIGNBT 恶意软件采用了多样化的感染链和复杂的技术。” 这家俄罗斯网络安全供应商表示，开发被利用软件的公司曾多次成为 Lazarus 攻击的受害者，这表明有人试图窃取源代码或毒害软件供应链，就像3CX 供应链攻击的情况一样。 Park 补充道，Lazarus 集团“继续利用该公司软件中的漏洞，同时瞄准其他软件制造商”。作为最新活动的一部分，据称截至 2023 年 7 月中旬，已有多名受害者被挑选出来。 根据该公司的说法，受害者是通过一种合法的安全软件成为目标的，该软件旨在使用数字证书加密网络通信。该软件的名称并未公开，该软件被武器化以分发 SIGNBT 的确切机制仍然未知。 除了依靠各种策略来建立和维护受感染系统的持久性之外，攻击链还采用内存加载程序作为启动 SIGNBT 恶意软件的渠道。 SIGNBT 的主要功能是与远程服务器建立联系并检索进一步的命令以在受感染的主机上执行。该恶意软件因其在基于 HTTP 的命令和控制 (C2) 通信中使用前缀为“SIGNBT”的独特字符串而得名 – SIGNBTLG，用于初始连接 SIGNBTKE，用于在从 C2 服务器接收到 SUCCESS 消息后收集系统元数据 SIGNBTGC，用于获取命令 SIGNBTFI，通讯失败 SIGNBTSR，为了成功的沟通 Windows 后门本身具有多种功能来对受害者的系统进行控制。这包括进程枚举、文件和目录操作以及 LPEClient 和其他凭证转储实用程序等有效负载的部署。 卡巴斯基表示，它在 2023 年发现了至少三个不同的 Lazarus 活动，使用不同的入侵向量和感染程序，但始终依赖 LPEClient 恶意软件来传播最终阶段的恶意软件。 其中一项活动为代号为Gopuram的植入程序铺平了道路，该植入程序通过利用 3CX 语音和视频会议软件的木马版本，用于针对加密货币公司的网络攻击。 最新的发现只是与朝鲜有关的网络行动的最新例子，此外也证明了拉撒路集团不断发展和不断扩大的工具、策略和技术库。 “在当今的网络安全领域，拉撒路集团仍然是一个高度活跃和多才多艺的威胁参与者，”帕克说。 “威胁行为者表现出了对 IT 环境的深刻理解，改进了他们的策略，包括利用知名软件中的漏洞。这种方法使他们能够在实现初始感染后有效地传播恶意软件。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291090 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 据观察，与朝鲜有关的黑客集团Lazarus利用了影响Zoho ManageEngine ServiceDesk Plus的一个现已修补的关键漏洞，分发了一种名为QuiteRAT的远程访问木马。 网络安全公司Cisco Talos在今天发布的一份分析报告中称，该组织的攻击目标包括欧洲和美国的互联网骨干基础设施和医疗机构。 更重要的是，对在网络攻击中回收的攻击基础设施进行更仔细的检查后，研究人员发现了一种名为CollectionRAT的新威胁软件。 Talos指出，尽管这些组件多年来被充分记录，但Lazarus仍然依赖于相同的间谍技术，这一事实突显了威胁行为者对其行动的信心。 QuiteRAT据说是MagicRAT的后继产品，MagicRAT本身是TigerRAT的后续产品，而CollectionRAT似乎与EarlyRAT(又名Jupiter)有重叠之处。EarlyRAT是一种用PureBasic编写的植入物，具有在终端上运行命令的能力。 安全研究人员Asheer Malhotra、Vitor Ventura和Jungsoo An表示:“QuiteRAT具有与Lazarus组织更知名恶意软件MagicRAT相同的许多功能，但其文件大小要小得多。这两个植入都是基于Qt框架构建的，并有任意命令执行之类的功能。” Qt框架的使用被认为是攻击者有意为之，这使分析更具挑战性，因为它“增加了恶意软件代码的复杂性”。 该活动于2023年初检测到，涉及CVE-2022-47966的利用。在该漏洞的概念验证(Poc)在线出现仅五天之后，黑客就直接从恶意URL部署QuiteRAT二进制文件了。 研究人员表示：“QuiteRAT显然是MagicRAT的进化版本。MagicRAT是一个更大、更笨重的恶意软件家族，平均大小约为18MB，而QuiteRAT的实现要小得多，平均大小约为4到5MB。” 两者之间的另一个关键区别是QuiteRAT中缺乏内置的持久化机制，因此必须从服务器发出命令，以确保软件在受损主机上继续运行。 这一发现也与WithSecure在今年2月早些时候发现的另一个行为相重叠，在那次黑客活动中，未打补丁的Zimbra设备中的安全漏洞被用来入侵受害者系统，并最终安装QuiteRAT。 思科Talos表示，攻击者“在攻击的初始访问阶段越来越依赖于开源工具和框架，而不是在入侵后阶段使用。” 这包括基于GoLang的开源DeimosC2框架，用于获得持久访问，CollectionRAT主要用于收集元数据、运行任意命令、管理受感染系统上的文件，并提供额外的有效负载。 目前还不清楚CollectionRAT是如何传播的，但有证据表明，托管在同一基础设施上的PuTTY Link (Plink)实用程序的木马副本被用来建立到系统的远程隧道并为恶意软件提供服务。 研究人员表示:“Lazarus组织之前依赖于使用定制的植入物，如MagicRAT、VSingle、Dtrack和YamaBot，作为在成功入侵的系统上建立持久初始访问的手段。” “然后，这些植入物被用来部署各种开源或两用工具，在受感染的企业网络中执行大量恶意的键盘操作活动。” 这一事态发展表明，Lazarus正在不断改变策略，扩大其恶意武器库，同时将新披露的软件漏洞武器化，造成毁灭性的影响。     消息来源：thehakernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

威胁情报研究机构 Cisco Talos 周四表示，其观察到 APT38（又名 Lazarus）在今年 2-7 月期间，针对美国、加拿大和日本的未具名能源供应商发起了攻击。研究发现，黑客利用了在 Log4j 中存在一年之久的漏洞（即 Log4Shell），来破坏暴露在互联网上的 VMware Horizon 服务器。 （来自：Cisco Talos） 通过在受害企业网络上建立初始立足点，然后部署被称作“VSingle”的定制恶意软件和“ YamaBot”，以建立长期持久的访问。 早些时候，YamaBot 已被日本国家网络应急响应小组（CERT）认定与 Lazarus APT 组织有关。 今年 4 月，Symantec 率先披露这一间谍活动的细节，并将该行动归咎于“Stonefly”—— 这是另一个与 Lazarus 有部分重叠、且有朝方背景的黑客组织。 此外 Cisco Talos 观察到了一个名为“MagicRAT”、此前从未见过的远程访问木马（RAT），可知黑客利用这个归属于 Lazarus Group 的木马而开展了侦查并窃取凭据。 Talos 研究人员 Jung soo An、Asheer Malhotra 和 Vitor Ventura 写道： 这些攻击的主要目标，可能是建立对目前网络的长期访问权限，以开展朝方支持的间谍活动。 这项活动与历史上针对关键基础设施和能源公司的 Lazarus 入侵相一致，旨在建立长期获取专有知识产权的途径。 【背景资料】 Lazarus Group 被认定为一个有朝方背景、且出于经济动机的黑客组织，其以 2016 年针对索尼的黑客攻击、以及 2017 的 WannaCry 勒索软件活动而出名。 最近几个月，该组织又将目光瞄向了区块链和加密货币组织，比如从 Harmony 的 Horizon Bridge 窃取了 1 亿美元的加密资产、以及从 Ronin Network 盗走了 6.25 亿美元的加密货币。 后者是一个基于以太坊的侧链，专为《Axie Infinity》这款热门赚钱游戏而设计。7 月，美国政府悬赏千万美元征求包括 Lazarus 在内的威胁组织的成员信息、达到了美国国务院 4 月宣布的金额的两倍。 转自 CnBeta，原文链接：https://www.cnbeta.com/articles/tech/1314237.htm 封面来源于网络，如有侵权请联系删除