朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商

admin 2022年9月13日12:07:25安全新闻评论10 views1439字阅读4分47秒阅读模式

朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商

Cisco Talos发现Lazarus 集团在今年的一波攻击,主要锁定VMware Horizon环境中含有Log4Shell漏洞的能源业者。Lazarus 此前曾被美国网络安全和基础设施安全局 (CISA)归咎于朝鲜政府。

 

在于Java纪录框架Apache Log4j中的Log4Shell漏洞(CVE-2021-44228),持续成为黑客入侵组织的起始点,朝鲜黑客集团Lazarus 从今年2月到7月间,锁定了VMware Horizon中修补该漏洞的美国、加拿大与日本的能源供应商并展开攻击,并在这些组织的系统内植入其它恶意程序


朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商


据悉,思科曾评估这些攻击是由朝鲜国家支持的威胁组织 Lazarus Group 发起的。在Cisco Talos调查中,确定了威胁参与者使用的三种不同的 RAT,包括由 Lazarus 独家开发和分发的 VSingle 和 YamaBot。日本 CERT (JPCERT/CC) 最近发布了报告(VSingle、YamaBot),详细描述了它们并将这些活动归因于 Lazarus 威胁参与者。

 

2021年11月被公布的Log4Shell为一任意程序执行漏洞,其CVSS风险等级高达10,大约有20个Apache专案受到Log4Shell漏洞的影响,而因为采用Log4j或相关专案而受到波及的商业服务则不计其数,安永会计师事务所(Ernest & Young)曾估计93%的云端环境都存在风险,而VMware的虚拟桌面及程序管理平台VMware Horizon也是众多受害者之一。

 

Cisco Talos指出,Lazarus把VMware产品中的Log4Shell漏洞当作进入企业网络的初步通道,继之再部署该集团所开发的恶意程序,以常驻于受害网络上,目的是为了窃取这些组织的机密资讯与智慧财产,以进行间谍活动或是支持朝鲜政府的目标。由于VMware Horizon是以管理权限执行,使得黑客完全不必担心权限问题,并在进入受害网络之后,关闭系统的防毒软件。


朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商


在这波攻击被锁定的加拿大、美国与日本能源供应商的攻击活动中,Lazarus集团使用了3种客制化恶意程序,其中的两款是已知的VSingle与YamaBot,以及新的MagicRAT。

 

VSingle早在去年3月就被公开,它是个HTTP机器人,能与远端的C&C伺服器通讯,以自远端执行任意程序,或是下载与执行外挂程序;YamaBot则是个以Golang撰写的恶意程序,原本锁定Linux平台,但亦有支援Windows的版本,两个版本皆允许黑客自远端执行命令,至于新发现的MagicRAT使用与VSingle及YamaBot不同的C&C伺服器,功能亦是用来维系黑客对系统的存取能力。

 

网络安全专家建议,在部署涉及Log4Shell的软件漏洞时,最好先确定现有的漏洞尚未被黑客开采,再进行软件更新,否则也许早就遭客黑渗透而不自知。

精彩推荐

谷歌公布最近几个月,乌克兰遭到网络攻击的详细情况

2022.09.09

朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商

洛杉机学区遭到史无前例的网路攻击,所有机算机系统被迫关闭

2022.09.08

朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商

与乌克兰有关黑客攻击俄出租车系统,致莫斯科出现严重交通拥堵

2022.09.06

朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商

朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商

朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商

朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商

注:本文由E安全编译报道,转载请联系授权并注明来源。

参考链接:https://blog.talosintelligence.com/2022/09/lazarus-three-rats.html

原文始发于微信公众号(E安全):朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月13日12:07:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商 http://cn-sec.com/archives/1293615.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: