האקרים של לזרוס הצפון קוריאנים מפילים תוכנות זדוניות

קבוצת הפריצה של קוריאה הצפונית לקוריאה מקושרת לסוסים טרויאניים בגישה מרחוק (RAT) שלא תועדו בעבר ולתוכנת הורדת תוכנות זדוניות המנצלות את הפגיעות של Log4Shell.

החוקרים של Cisco Talos זוכים לגילוי הקמפיין החדש, שזכה לכינוי Operation Blacksmith.

האנליסטים מציינים את השימוש ב-DLang – שפת תכנות שאינה משמשת בדרך כלל בהתקפות, מה שיכול היה לעזור לקבוצה להישאר מתחת לרדאר עד כה.

Lazarus Dlang תוכנה זדונית

תיאור של הפגיעות, שאחריה עוקבים כ-CVE-2021-44228, כתוב: "תוקף שיכול לשלוט בהודעות יומן רישום או פרמטרים של הודעת יומן יכולים להפעיל קוד שרירותי שנטען משרתי LDAP כאשר החלפת חיפוש הודעות מופעלת."

התוכנה הזדונית מורכבת מזוג RATs אשר זכו לשמות NineRAT ו-DLRAT על ידי קבוצת אבטחת הסייבר. הראשון משתמש בבוטים ובערוצים של טלגרם כמדיום של תקשורת C2. השלישי הוא הורדה, הנקרא BottomLoader.

מאמינים כי NineRAT פותחה בסביבות מאי 2023 לפני שהשתמשו בה במבצע Blacksmith מאוחר יותר במרץ 2023 נגד ארגון חקלאי דרום אמריקאי. זה נצפה שוב בספטמבר 2023, מכוון לישות ייצור אירופאית.

לקבוצה, שפעילה מאז 2010 בערך, יש מגוון רחב של יעדים עד כה, כולל ממשלה, ביטחון, כספים, תקשורת, שירותי בריאות ותשתיות קריטיות. טאלוס אומר שהמטרות משתנות וכוללות ריגול, גניבת נתונים ורווח כספי כדי לתמוך ביעדי המדינה.

מבצע Blacksmith ממשיך לכוון באופן אופורטוניסטי לארגונים גלובליים המארחים בפומבי את התשתית הפגיעה שלהם לניצול פגיעות ביום, במיוחד CVE-2021-44228 (Log4j).

הפגיעות התגלתה על ידי חבר בצוות אבטחת הענן של עליבאבא, ומאז טופלה.

אם שום דבר אחר, ההתקפה של לזרוס מדגישה את הקריטיות של החלת עדכוני אבטחה על כל המכשירים המחוברים לאינטרנט כעניין דחוף.