Согласно отчету команды исследователей из Cisco Talos, в период с февраля по июнь 2022 года наблюдались многократные хакерские атаки на поставщиков электроэнергии по всему миру. Некоторые шпионские операции обнаружены представителями кибербезопасности из Symantec и AhnLab, они даже определили группировку Stonefly, которая является подгруппой Lazarus, сообщил The Hacker News 8 сентября 2022 года.
Шпионские атаки, как подчеркнули представители Cisco Talos, происходят по определенному сценарию, согласно которому злоумышленники проникают во «внутреннюю структуру» организации, чтобы получить доступ к информации с целью ее кражи. В дальнейшем утечка может послужить в интересах противника и против «жертвы».
Выявленные ранее атаки совершены с использованием шпионских программ, которые внедряются в систему. Обнаружив вредоносные программы Preft (Dtrack) и NukeSped (Manuscrypt), представители кибербезопасности ошибочно предположили, что атаки будет легче отследить, но хакеры приступили к использованию другого инструментария: VSingle, HTTP-бота, который выполняет произвольный код из удаленной сети, и бэкдор Golang под названием YamaBot.
Со временем выяснилось, что хакеры пользуются новым трояном MagicRAT для удаленного доступа. Его особенность в том, что вредоносная программа «уклоняется» от обнаружения. Первоначальный доступ к корпоративным сетям облегчается за счет эксплуатации уязвимостей в продуктах VMware (например, Log4Shell) с конечной целью установления постоянного доступа для выполнения действий в поддержку целей правительства Северной Кореи.
Ранее Интернет-журнал «LinDeal.com» рассказал о том, что власти Португалии закрыли сайт WT1SHOP по причине продажи украденных учетных данных и банковских карт.