Северокорейцы Lazarus атакуют VMware Horizon через уязвимость Log4Shell

Северокорейцы Lazarus атакуют VMware Horizon через уязвимость Log4Shell

Хакерская группировка Lazarus атакует уязвимые продукты VMware через Log4Shell с прошлого месяца.

image

Северокорейская киберпреступная группировка Lazarus эксплуатирует нашумевшую уязвимость в утилите журналирования Log4j для внедрения бэкдоров на серверы VMware Horizon с целью их дальнейшего заражения вредоносным ПО для кражи данных.

Речь идет об уязвимости удаленного выполнения кода CVE-2021-44228 , также известной как Log4Shell, которая затрагивает множество продуктов, в том числе VMware Horizon.

Хакеры начали эксплуатировать уязвимые серверы Horizon в январе 2022 года, и многие остаются уязвимыми и по сей день, несмотря на наличие доступных обновлений безопасности.

Согласно отчету Ahnlab ASEC, группировка Lazarus атакует уязвимые продукты VMware через Log4Shell с прошлого месяца.

В самом начале атаки злоумышленники эксплуатируют уязвимость в Log4j через сервис Apache Tomcat в Vmware Horizon, чтобы выполнить команду PowerShell. В конечном итоге эта команда приводит к установке на сервере бэкдора NukeSped (NukeSpeed), связываемого экспертами с КНДР.

Последний вариант бэкдора, проанализированный специалистами ASEC, написан на C++ и использует шифрование RC4 для безопасной связи с C&C-инфраструктурой. Ранее NukeSped использовал XOR.

В скомпрометированной среде NukeSped выполняет разные задачи по кибершпионажу, в частности, делает скриншоты, записывает нажатия кнопок на клавиатуре, получает доступ к файлам и пр. Более того, он поддерживает команды командной строки. В новом варианте бэкдора также присутствуют два новых модуля – для похищения USB-контента и доступа к web-камерам.

Lazarus использует NukeSped для установки дополнительного консольного инфостилера, похищающего следующие данные:

Учетные данные и историю браузинга из Google Chrome, Mozilla Firefox, Internet Explorer, Opera и Naver Whale;

Данные электронной почты из Outlook Express, MS Office Outlook и Windows Live Mail;

Имена недавно использовавшихся файлов в MS Office (PowerPoint, Excel и Word) и Hancom 2010.

В некоторых случаях вместо NukeSped через уязвимость Log4Shell группировка Lazarus развертывает майнер криптовалюты Jin Miner.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!