Operation Blacksmith
A Cisco Talos nemrég fedezett fel egy új, a Lazarus Group által vezetett kampányt, amelyet Operation Blacksmith-nek neveztek el, és amely legalább három új DLang-alapú kártevőcsaládot alkalmaz, amelyek közül kettő távoli hozzáférési trójai (RAT), amelyek közül az egyik a Telegram botokat és csatornákat használja a parancsnokság és irányítás (C2) kommunikációs eszközeként. Ezt a Telegram-alapú RAT-ot NineRAT, a nem Telegram-alapú RAT-ot pedig DLRAT néven követjük nyomon. A DLang-alapú letöltőt BottomLoader néven követjük nyomon.
Legfrissebb megállapításaink határozott változást jeleznek az észak-koreai APT-csoport, a Lazarus Group taktikájában. Az elmúlt másfél év során a Talos három különböző távoli hozzáférési trójai (RAT) programot hozott nyilvánosságra, amelyek a fejlesztés során olyan szokatlan technológiák felhasználásával készültek, mint a QtFramework, a PowerBasic és most a DLang.
A Talos a Lazarus által folytatott kampányban megfigyelt egy átfedést a megállapításaik között, beleértve az észak-koreai állam által támogatott Onyx Sleet (PLUTIONIUM) csoporttal, az Andariel APT-csoportként is ismert Onyx Sleet (PLUTIONIUM) taktikáit, technikáit és eljárásait (TTP). Az Andariel-t széles körben a Lazarus égisze alatt működő APT alcsoportnak tekintik.
Ez a kampány olyan vállalatok folyamatos opportunista célba vételéből áll világszerte, amelyek nyilvánosan fogadják és kiteszik sebezhető infrastruktúrájukat az n-napos sebezhetőség kihasználásának, például a CVE-2021-44228 (Log4j). A kutatók megfigyelték, hogy a Lazarus gyártó, mezőgazdasági és fizikai biztonsági vállalatokat vesz célba.
A Talos megosztotta az azonosításhoz szükséges mutatókat.
