黑客组织利用Log4Shell 漏洞攻击美国能源企业

分析师指出，Lazarus 黑客组织正在利用面向互联网的未修复VMware Horizon 服务器中的Log4j漏洞，获得位于美国、加拿大和日本能源提供商的初始访问权限。Lazarus组织部署自定义恶意软件进行长期监控。

Lazarus组织又被称为“Hidden Cobra” 和 APT38，因窃取加密企业数亿密币而为人所知。美国财政部在2019年因盗取密币和入侵银行系统，资助朝鲜核武器和弹道导弹计划而制裁Lazarus 组织。

组织机构应当在数月前就修复该漏洞。9月，CISA提醒组织机构称应修复VMware Horizon中的Log4Shell 缺陷，而此时距离VMware 发布补丁已过去九个月的时间。

微软指出，伊朗情报安全部的黑客即MuddyWater也在最近利用Log4Shell攻陷位于以色列的组织机构，但通过以色列厂商未修复的包含Log4j的服务器软件实施攻陷。

获得未修复 VMware Horizon 服务器的访问权限后，Lazarus黑客组织部署勒自定义恶意软件植入VSingle、YamaBot 和被思科称之为 “MagicRAT” 的植入。思科披露了关于该黑客组织运营方式的更多详情。思科认为该组织旨在设立长期访问权限，以获取有价值的信息。

本周四，思科指出，“思科Talos团队将位于VMware Horizon公开服务器上的Log4Shell 漏洞识别为初始攻击向量，随后攻击者实施多起攻击，在系统上站稳脚跟，随后部署其它恶意软件并在网络内横向移动。”

攻陷Windows环境中的VMware Horizon 服务器后，黑客组织部署VSingle，设立反向shell发布任意命令，并禁用微软Defender杀毒软件。微软建议组织机构启用篡改防护措施。

该组织还通过Windows活动目录开展侦察活动、收割加密凭据并收集关于受感染系统逻辑驱动信息。在这一阶段，恶意人员也会检查远程桌面协议 (RDP)端口是否开启。

思科指出，“在侦察阶段，攻击者会检查RDP端口是否开放。如果开放，则攻击者解密任何所收割凭据，从而在无需安装任何后门的情况下直接访问系统。”

激活受感染系统上的后门和植入后，该组织删除了感染文件夹中的文件、终止任何活跃的Powershell 任务、删除所创建的任何账户并清除Windows Event日志。

思科表示，新发现的植入MagicRAT“非常简单”，因为该植入连接到攻击者的命令和控制服务器，从而具有能够执行任意命令的远程shell，使其能够重命名、移动并删除设备上的文件。同时它还具有端口扫描器。

第二个已知的远程访问工具 TigerRAT，连接到同样的C2，可使攻击者枚举系统并运行任意命令如屏幕截取、按键记录、文件管理和自卸载等。

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~