נוזקה צפון-קוריאנית תוקפת מחשבי Windows, MacOS, ולינוקס

This post is also available in: English (אנגלית)

חוקרי אבטחת סייבר ב-ReversingLabs טוענים כי קמפיין סייבר זדוני שהתמקד במערכות Windows, MacOS, ולינוקס בוצע על ידי כנופיית הסייבר הצפון קוריאנית Lazarus.

הקמפיין "VMConnect" שאותר בתחילת אוגוסט, מורכב משני תריסר "חבילות פייתון זדוניות" שפורסמו במאגר תוכנות PyPI נגיש באופן פתוח, ולאחר ש- ReversingLabs צפו בו במשך כמה שבועות הם זיהו שלוש חבילות נוספות השייכות למשפחת VMConnect.

על פי Innovation New Network, ניתוח של החבילות הזדוניות בהן נעשה שימוש והמטענים המפוענחים שלהן חושף קשרים לקמפיינים קודמים המיוחסים ל-Labyrinth Chollima, שלוחה של קבוצת Lazarus הפועלת בחסות צפון קוריאה.

ReversingLabs מוסיפה כי ייחוס דומה נעשה על ידי JPCERT, אשר קישר את ההתקפה שחשף לקבוצת DangerousPassword, חברת בת נוספת של קבוצת Lazarus.

בהתבסס על מידע זה, ReversingLabs מסיקה כי אותו גורם איום עמד מאחורי שתי ההתקפות "ולכן פעילות הקמפיין הזדונית VMConnect יכולה להיות קשורה לקבוצת Lazarus בחסות צפון קוריאה".

הקבוצה הוסיפה כי "כמו בקמפיינים קודמים המתבססים על שרשרת האספקה של תוכנות, כולל IconBurst, SentinelSneak ואחרים, הגורמים הזדוניים שמאחורי VMConnect לקחו צעדים כדי להסוות את המטענים הזדוניים שלהם ולגרום לחבילות שפורסמו להיראות אמינות, למרות קיומה של פונקציונליות זדונית".

תגליות אלו לגבי קמפיין VMConnect הן תזכורת לכך שארגונים צריכים לשפר את יכולות ההגנה שלהן בסייבר כדי לכסות את הטווח המלא של איומים והתקפות אפשריות, כולל התקפות שרשרת אספקה של תוכנות. על פי ReversingLabs, זה דורש מחברות להשקיע הן את המאמץ והן את המשאבים הדרושים כדי לזהות ולמנוע התקפות שרשרת אספקה ​​לפני שיגרמו נזק חומרי לעסק שלהם.

ReversingLabs קוראת לארגונים להשקיע בהכשרה ובהעלאת המודעות, כמו גם בכלים לזיהוי אינדיקטורים חשודים או זדוניים.