美国加拿大日本多家能源公司遭黑客集团Lazarus攻击

根据思科的研究，黑客使用一年前曝光的 Log4j（也叫做 Log4jShell）漏洞，部署称为“VSingle”和“YamaBot”的定制恶意软件以建立长期持续访问之后，入侵暴露在网络上的 VMware Horizon 服务器，从而在受害者的企业网络上建立初步立足点。恶意软件 YamaBot 最近被日本国家网络应急响应小组（CERT）认为由 Lazarus APT 操纵。

赛门铁克于今年 4 月首次披露了这一间谍活动的细节，并将该行动归咎于“Stonefly”，这是另一个与 Lazarus 有一些重叠的朝鲜黑客组织。

然而，Cisco Talos 还观察到了一个名为“MagicRAT”的以前未知的远程访问木马（或 RAT），归属于 Lazarus Group，黑客使用该木马进行侦察和窃取凭据。

Jung soo An、Asheer Malhotra、Vitor Ventura 等多位 Talos 安全专家表示：“这些攻击的主要目标可能是建立对受害者网络的长期访问权限，以进行间谍活动以支持朝鲜政府的目标。这项活动与 Lazarus 针对关键基础设施和能源公司的历史性入侵相一致，以建立长期获取专有知识产权的途径”。