Тушите свет: северокорейская группировка Lazarus Group атакует энергетические компании по всему миру

Исследователи из Cisco Talos сообщили, что в период с февраля по июль этого года они зафиксировали множество атак Lazarus (они же APT38) на неназванных поставщиков электроэнергии в США, Канаде и Японии. По словам специалистов, хакеры используют Log4Shell, уязвимость годичной давности в Log4j, чтобы скомпрометировать серверы VMware Horizon, которые подключены к интернету. После этого злоумышленники закреплялись в сетях жертвы и развертывали специальные вредоносы – VSingle и YamaBot, позволяющие установить надежный доступ к системам жертв.

Впервые об этой компании сообщила компания Symantec в апреле 2022 года и связала атаки с группировкой Stonefly, которая косвенно связана с Lazarus.

Кроме того, исследователи Cisco Talos совсем недавно обнаружили новый троян удаленного доступа (RAT) под названием MagicRAT, который хакеры используют для разведки и кражи учетных данных.

По мнению специалистов, в ходе этой вредоносной кампании злоумышленники пытались установить надежный доступ к сетям жертв для проведения кибершипионских операций в пользу Северной Кореи.