Северокорейская киберпреступная группировка Lazarus эксплуатирует нашумевшую уязвимость в утилите журналирования Log4j для внедрения бэкдоров на серверы VMware Horizon с целью их дальнейшего заражения вредоносным ПО для кражи данных.
Речь идет об уязвимости удаленного выполнения кода CVE-2021-44228 , также известной как Log4Shell, которая затрагивает множество продуктов, в том числе VMware Horizon.
Хакеры начали эксплуатировать уязвимые серверы Horizon в январе 2022 года, и многие остаются уязвимыми и по сей день, несмотря на наличие доступных обновлений безопасности.
Согласно отчету Ahnlab ASEC, группировка Lazarus атакует уязвимые продукты VMware через Log4Shell с прошлого месяца.
В самом начале атаки злоумышленники эксплуатируют уязвимость в Log4j через сервис Apache Tomcat в Vmware Horizon, чтобы выполнить команду PowerShell. В конечном итоге эта команда приводит к установке на сервере бэкдора NukeSped (NukeSpeed), связываемого экспертами с КНДР.
Последний вариант бэкдора, проанализированный специалистами ASEC, написан на C++ и использует шифрование RC4 для безопасной связи с C&C-инфраструктурой. Ранее NukeSped использовал XOR.
В скомпрометированной среде NukeSped выполняет разные задачи по кибершпионажу, в частности, делает скриншоты, записывает нажатия кнопок на клавиатуре, получает доступ к файлам и пр. Более того, он поддерживает команды командной строки. В новом варианте бэкдора также присутствуют два новых модуля – для похищения USB-контента и доступа к web-камерам.
Lazarus использует NukeSped для установки дополнительного консольного инфостилера, похищающего следующие данные:
Учетные данные и историю браузинга из Google Chrome, Mozilla Firefox, Internet Explorer, Opera и Naver Whale;
Данные электронной почты из Outlook Express, MS Office Outlook и Windows Live Mail;
Имена недавно использовавшихся файлов в MS Office (PowerPoint, Excel и Word) и Hancom 2010.
В некоторых случаях вместо NukeSped через уязвимость Log4Shell группировка Lazarus развертывает майнер криптовалюты Jin Miner.
Источник: SecurityLab