Исследователи из Cisco Talos сообщили, что в период с февраля по июль этого года они зафиксировали множество атак Lazarus (они же APT38) на неназванных поставщиков электроэнергии в США, Канаде и Японии.
По словам специалистов, хакеры используют Log4Shell, уязвимость годичной давности в Log4j, чтобы скомпрометировать серверы VMware Horizon, которые подключены к интернету. После этого злоумышленники закреплялись в сетях жертвы и развертывали специальные вредоносы – VSingle и YamaBot, позволяющие установить надежный доступ к системам жертв.
Впервые об этой компании сообщила компания Symantec в апреле 2022 года и связала атаки с группировкой Stonefly, которая косвенно связана с Lazarus, напоминает Securitylab.
По мнению специалистов, в ходе этой вредоносной кампании злоумышленники пытались установить надежный доступ к сетям жертв для проведения кибершипионских операций в пользу Северной Кореи.