Kuzey Kore bağlantılı Lazarus Group tarafından başlatılan bir saldırının, şubat-temmuz 2022 arasında dünyanın dört bir yanındaki enerji sağlayıcılarını hedef aldığı raporlanıyor.
Broadcom’un sahibi olduğu Symantec ve AhnLab’ın bu Nisan ve Mayıs ayı başlarındaki raporları sayesinde casusluk saldırılarının bazı unsurları ortaya çıktı. Symantec operasyonu, Andariel, Guardian of Peace, OperationTroy veya Silent Chollima olarak da bilinen bir Lazarus alt grubu olan Stonefly adlı bir gruba bağladı.
Bu saldırılarda daha önce Preft (aka Dtrack) ve NukeSped (aka Manuscrypt) implantları kullanılırken, en son saldırı dalgasında, uzak bir ağdan rastgele kod yürüten bir HTTP botu olan VSingle ve YamaBot adında bir Golang arka kapısı kullanılmış. Saldırıda ek olarak tespit edilmekten kaçınma ve virüslü sistemlerde ek yükler başlatma yetenekleriyle birlikte gelen MagicRAT adlı yeni bir uzaktan erişim truva atı da kullanılıyor.
Kurumsal ağlara ilk erişim, VMware ürünlerindeki (örneğin, Log4Shell) güvenlik açıklarından yararlanılması yoluyla kolaylaştırılır ve nihai hedef, Kuzey Kore hükümetinin hedeflerini destekleyen faaliyetleri gerçekleştirmek için kalıcı erişim sağlamadır.
VSingle’ın tek bir saldırı zincirinde kullanılmasının, tehdit aktörünün keşif, sızma ve manuel arka kapı açma gibi çeşitli faaliyetleri gerçekleştirmesini sağladığı ve operatörlere kurban ortamı hakkında sağlam bir anlayış kazandırdığı söyleniyor.
Ismarlama kötü amaçlı yazılım kullanımının yanı sıra grubun benimsediği diğer taktikler arasında Mimikatz ve Procdump gibi araçlar aracılığıyla kimlik bilgilerinin toplanması, antivirüs bileşenlerinin devre dışı bırakılması ve Active Directory hizmetlerinin keşfi ve hatta uç noktada arka kapıları etkinleştirdikten sonra izlerini temizlemek için adımlar atılması yer alıyor.