朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商

Cisco Talos发现Lazarus 集团在今年的一波攻击，主要锁定VMware Horizon环境中含有Log4Shell漏洞的能源业者。Lazarus 此前曾被美国网络安全和基础设施安全局 (CISA)归咎于朝鲜政府。

在于Java纪录框架Apache Log4j中的Log4Shell漏洞（CVE-2021-44228），持续成为黑客入侵组织的起始点，朝鲜黑客集团Lazarus 从今年2月到7月间，锁定了VMware Horizon中修补该漏洞的美国、加拿大与日本的能源供应商并展开攻击，并在这些组织的系统内植入其它恶意程序。

据悉，思科曾评估这些攻击是由朝鲜国家支持的威胁组织 Lazarus Group 发起的。在Cisco Talos调查中，确定了威胁参与者使用的三种不同的 RAT，包括由 Lazarus 独家开发和分发的 VSingle 和 YamaBot。日本 CERT (JPCERT/CC) 最近发布了报告（VSingle、YamaBot），详细描述了它们并将这些活动归因于 Lazarus 威胁参与者。

2021年11月被公布的Log4Shell为一任意程序执行漏洞，其CVSS风险等级高达10，大约有20个Apache专案受到Log4Shell漏洞的影响，而因为采用Log4j或相关专案而受到波及的商业服务则不计其数，安永会计师事务所（Ernest & Young）曾估计93%的云端环境都存在风险，而VMware的虚拟桌面及程序管理平台VMware Horizon也是众多受害者之一。

Cisco Talos指出，Lazarus把VMware产品中的Log4Shell漏洞当作进入企业网络的初步通道，继之再部署该集团所开发的恶意程序，以常驻于受害网络上，目的是为了窃取这些组织的机密资讯与智慧财产，以进行间谍活动或是支持朝鲜政府的目标。由于VMware Horizon是以管理权限执行，使得黑客完全不必担心权限问题，并在进入受害网络之后，关闭系统的防毒软件。

在这波攻击被锁定的加拿大、美国与日本能源供应商的攻击活动中，Lazarus集团使用了3种客制化恶意程序，其中的两款是已知的VSingle与YamaBot，以及新的MagicRAT。

VSingle早在去年3月就被公开，它是个HTTP机器人，能与远端的C&C伺服器通讯，以自远端执行任意程序，或是下载与执行外挂程序；YamaBot则是个以Golang撰写的恶意程序，原本锁定Linux平台，但亦有支援Windows的版本，两个版本皆允许黑客自远端执行命令，至于新发现的MagicRAT使用与VSingle及YamaBot不同的C&C伺服器，功能亦是用来维系黑客对系统的存取能力。

网络安全专家建议，在部署涉及Log4Shell的软件漏洞时，最好先确定现有的漏洞尚未被黑客开采，再进行软件更新，否则也许早就遭客黑渗透而不自知。