朝鲜Lazarus黑客攻击世界各地的能源供应商

与北韩有关联的“拉撒路集团”在2022年2月至7月期间，针对美国、加拿大、日本等世界各地的能源企业展开了恶意攻击。

思科·塔洛斯在与《黑客新闻》分享的一份报告中说：“这场运动旨在渗透世界各地的组织，建立长期访问，并随后过滤对手民族国家感兴趣的数据”。

今年4月和5月初，博通旗下的赛门铁克（Symantec）和AhnLab的报告显示，间谍袭击的一些元素已经进入了公共领域。赛门铁奇将此次行动归因于一个名为“石蝇”（Stonefly）的组织，该组织是拉扎鲁斯的一个分支，更为人熟知的是“和平卫士”（Andariel）、特洛伊行动（operation Troy）和“沉默的千里马”（Silent Chollima）。

虽然这些攻击之前导致了Preft（又名Dtrack）和NukeSped（又名Manuscrypt）植入的插装，但最新的攻击波以使用其他两种恶意软件而闻名：VSingle，一种从远程网络执行任意代码的HTTP机器人，以及一种称为YamaBot的Golang后门。

在这场活动中还使用了一种称为MagicRAT的新远程访问特洛伊木马，它具有逃避检测和在受感染系统上启动额外有效负载的能力。

研究人员Jung soo-An、Asheer Malhotra和Vitor Ventura说：“虽然在两次攻击中使用了相同的策略，但所部署的恶意软件植入物彼此不同，这表明Lazarus可使用的植入物种类繁多”。

通过利用VMware产品（如Log4Shell）中的漏洞来促进对企业网络的初始访问，最终目标是建立持久访问，以执行支持朝鲜政府目标的活动。

据说，在一个攻击链中使用VSingle使威胁行为人能够执行各种活动，如侦察、过滤和手动后门，使操作员对受害者环境有了深入的了解。

除使用定制恶意软件外，该组织还采用了其他策略，包括通过Mimikatz和Procdump等工具获取凭证、禁用防病毒组件、侦察Active Directory服务，甚至在激活端点上的后门后采取步骤清除其跟踪。