朝鲜黑客组织Lazarus利用Log4J攻击VMware服务器长达数月之久

导读

作为朝鲜最著名的黑客组织之一，Lazarus 利用称为“NukeSped”的 Log4J RCE 漏洞在 VMware Horizon 服务器上注入后门，以检索信息窃取有效载荷。CVE-2021-44228 (log4Shell) 是已被跟踪并识别此漏洞的 CVE ID，它影响了包括 VMware Horizon 在内的多种产品。

自今年1月份以来，多个威胁参与者都在利用此漏洞，1 月份 VMware 敦促客户修补关键的 Log4j 安全漏洞，这些漏洞会影响以持续攻击为目标的暴露于Internet的VMware Horizon 服务器 。

Ahnlab的 ASEC 的网络安全分析师声称，自 2022 年 4 月以来，Lazarus 组织背后的威胁行为者一直通过 Log4Shell 攻击易受攻击的 VMware 产品。

VMware Horizon 服务器是目标

通过运行这个 PowerShell 命令，很可能会安装服务器上的 NukeSped 后门。 

NukeSped 等后门恶意软件能够从 C&C 服务器接收命令并代表攻击者执行这些命令。2018 年夏天，NukeSped 与隶属于朝鲜的黑客有关联，然后与 Lazarus 发起的 2020 年活动有关。

在最新的变体中，C++ 语言是首选语言，并且使用 RC4 加密确保与 C2 的安全通信。在之前的版本中，使用了 XOR 加密。

运营

在妥协的条件下，NukeSped 执行各种间谍活动，我们在下面提到：-

截图

记录按键操作

访问文件

支持命令行命令

目前，有两个模块是当前 NukeSped 变体的一部分，一个用于从 USB 设备转储内容，另一个允许您访问网络摄像头。

数据目标

有几种类型的数据可以被恶意软件窃取，下面将提到它们：

账户凭证

浏览记录

电子邮件帐户信息

MS Office 中最近使用的文件的名称

在某些攻击中，通过 Log4Shell 可以看到 Lazarus 使用 Jin Miner 而不是 NukeSped。

最近的 Lazarus 事件是第二个已知的恶意软件活动示例，该恶意软件活动在针对 Windows 的活动中使用 LoLBins。另一个是在 macOS 和 Windows 计算机上使用加密挖掘恶意软件。

为了突出黑客组织用于攻击的各种策略，除此之外还有对 Log4Shell 的利用。