Северокорейцы Lazarus атакуют VMware Horizon через уязвимость Log4Shell

Северокорейская киберпреступная группировка Lazarus эксплуатирует нашумевшую уязвимость в утилите журналирования Log4j для внедрения бэкдоров на серверы VMware Horizon с целью их дальнейшего заражения вредоносным ПО для кражи данных.

Речь идет об уязвимости удаленного выполнения кода CVE-2021-44228 , также известной как Log4Shell, которая затрагивает множество продуктов, в том числе VMware Horizon.

Хакеры начали эксплуатировать уязвимые серверы Horizon в январе 2022 года, и многие остаются уязвимыми и по сей день, несмотря на наличие доступных обновлений безопасности.

Согласно отчету Ahnlab ASEC, группировка Lazarus атакует уязвимые продукты VMware через Log4Shell с прошлого месяца.

В самом начале атаки злоумышленники эксплуатируют уязвимость в Log4j через сервис Apache Tomcat в Vmware Horizon, чтобы выполнить команду PowerShell. В конечном итоге эта команда приводит к установке на сервере бэкдора NukeSped (NukeSpeed), связываемого экспертами с КНДР.

Последний вариант бэкдора, проанализированный специалистами ASEC, написан на C++ и использует шифрование RC4 для безопасной связи с C&C-инфраструктурой. Ранее NukeSped использовал XOR.

В скомпрометированной среде NukeSped выполняет разные задачи по кибершпионажу, в частности, делает скриншоты, записывает нажатия кнопок на клавиатуре, получает доступ к файлам и пр. Более того, он поддерживает команды командной строки. В новом варианте бэкдора также присутствуют два новых модуля – для похищения USB-контента и доступа к web-камерам.

Lazarus использует NukeSped для установки дополнительного консольного инфостилера, похищающего следующие данные:

Учетные данные и историю браузинга из Google Chrome, Mozilla Firefox, Internet Explorer, Opera и Naver Whale;

Данные электронной почты из Outlook Express, MS Office Outlook и Windows Live Mail;

Имена недавно использовавшихся файлов в MS Office (PowerPoint, Excel и Word) и Hancom 2010.

В некоторых случаях вместо NukeSped через уязвимость Log4Shell группировка Lazarus развертывает майнер криптовалюты Jin Miner.

Источник: SecurityLab