Cisco Talos发现Lazarus 集团在今年的一波攻击,主要锁定VMware Horizon环境中含有Log4Shell漏洞的能源业者。Lazarus 此前曾被美国网络安全和基础设施安全局 (CISA)归咎于朝鲜政府。
在于Java纪录框架Apache Log4j中的Log4Shell漏洞(CVE-2021-44228),持续成为黑客入侵组织的起始点,朝鲜黑客集团Lazarus 从今年2月到7月间,锁定了VMware Horizon中修补该漏洞的美国、加拿大与日本的能源供应商并展开攻击,并在这些组织的系统内植入其它恶意程序。
据悉,思科曾评估这些攻击是由朝鲜国家支持的威胁组织 Lazarus Group 发起的。在Cisco Talos调查中,确定了威胁参与者使用的三种不同的 RAT,包括由 Lazarus 独家开发和分发的 VSingle 和 YamaBot。日本 CERT (JPCERT/CC) 最近发布了报告(VSingle、YamaBot),详细描述了它们并将这些活动归因于 Lazarus 威胁参与者。
2021年11月被公布的Log4Shell为一任意程序执行漏洞,其CVSS风险等级高达10,大约有20个Apache专案受到Log4Shell漏洞的影响,而因为采用Log4j或相关专案而受到波及的商业服务则不计其数,安永会计师事务所(Ernest & Young)曾估计93%的云端环境都存在风险,而VMware的虚拟桌面及程序管理平台VMware Horizon也是众多受害者之一。
Cisco Talos指出,Lazarus把VMware产品中的Log4Shell漏洞当作进入企业网络的初步通道,继之再部署该集团所开发的恶意程序,以常驻于受害网络上,目的是为了窃取这些组织的机密资讯与智慧财产,以进行间谍活动或是支持朝鲜政府的目标。由于VMware Horizon是以管理权限执行,使得黑客完全不必担心权限问题,并在进入受害网络之后,关闭系统的防毒软件。
在这波攻击被锁定的加拿大、美国与日本能源供应商的攻击活动中,Lazarus集团使用了3种客制化恶意程序,其中的两款是已知的VSingle与YamaBot,以及新的MagicRAT。
VSingle早在去年3月就被公开,它是个HTTP机器人,能与远端的C&C伺服器通讯,以自远端执行任意程序,或是下载与执行外挂程序;YamaBot则是个以Golang撰写的恶意程序,原本锁定Linux平台,但亦有支援Windows的版本,两个版本皆允许黑客自远端执行命令,至于新发现的MagicRAT使用与VSingle及YamaBot不同的C&C伺服器,功能亦是用来维系黑客对系统的存取能力。
网络安全专家建议,在部署涉及Log4Shell的软件漏洞时,最好先确定现有的漏洞尚未被黑客开采,再进行软件更新,否则也许早就遭客黑渗透而不自知。
2022.09.09
2022.09.08
2022.09.06
注:本文由E安全编译报道,转载请联系授权并注明来源。
参考链接:https://blog.talosintelligence.com/2022/09/lazarus-three-rats.html
原文始发于微信公众号(E安全):朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论