Güvenlik araştırmacıları, ABD, Kanada ve Japon enerji sağlayıcılarını hedef alan yeni bir siber casusluk eylemini Kuzey Kore devlet destekli Lazarus hack grubuna bağladı. Tehdit istihbarat şirketi Cisco Talos yaptığı açıklamada, APT38 olarak da bilinen Lazarus’un bu yıl Şubat ve Temmuz ayları arasında ABD, Kanada ve Japonya’daki isimsiz enerji sağlayıcılarını hedef aldığını gözlemlediğini söyledi. Cisco’nun araştırmasına göre bilgisayar korsanları, “VSingle” olarak bilinen özel kötü amaçlı yazılımı dağıtmadan önce, kurbanın kurumsal ağında bir başlangıç noktası oluşturmak için internete açık VMware Horizon sunucularını tehlikeye atıyor. Bunun için de Log4j’de Log4Shell olarak bilinen bir yıllık bir güvenlik açığını kullanılıyor.
Yeni bir truva atı
Bu casusluk kampanyasının detayları ilk olarak Symantec tarafından bu yıl Nisan ayında açıklandı ve operasyonun, Lazarus ile bazı örtüşmeleri olan bir başka Kuzey Kore hack grubu olan “Stonefly”a atfedildi. Bununla birlikte, Cisco Talos, bilgisayar korsanlarının kimlik bilgilerini çalmak için kullandığı Lazarus Group’a atfedilen “MagicRAT” adlı daha önce bilinmeyen bir uzaktan erişim truva atı – veya RAT – gözlemledi. Talos araştırmacıları Jung soo An, Asheer Malhotra ve Vitor Ventura, “Bu saldırıların ana amacı, Kuzey Kore hükumetinin hedeflerini desteklemek amacıyla casusluk operasyonları yürütmek için kurban ağlarına uzun vadeli erişim sağlamaktı” diyor ve ekliyor, “Bu eylemler uzun vadeli erişim sağlamak için kritik altyapıyı ve enerji şirketlerini hedefleyen tarihi Lazarus saldırıları ile paralellik gösteriyor.”
