近日,AhnLab 安全應急響應中心(ASEC)在一份新報告中表示:“自 2022 年 4 月以來,黑客組織 Lazarus 一直通過 Log4j 遠端程式碼執行漏洞,在未應用安全補丁的 VMware Horizon 產品上收集竊取資訊的有效負載。”
據稱,這些攻擊是在 4 月份首次被發現的,朝鮮黑客組織 Lazarus 利用 NukeSped 安裝了一個額外的基於控制檯的資訊竊取惡意軟體,該軟體可收集儲存在 Web 瀏覽器上的資訊。
NukeSped 是一個可根據從遠端攻擊者控制的域接收命令以執行各種惡意活動的“後門”。最早於 2018 年夏天被發現與朝鮮黑客有關,隨後被發現與黑客組織 Lazarus 策劃的 2020 年活動有關。
該 NukeSped 後門的一些關鍵功能包括:捕捉擊鍵和截圖、訪問裝置的網路攝像頭、丟棄額外的有效載荷(如資訊竊取者)等。
還記得去年 12 月份,網際網路上突然曝出了 Log4j2 漏洞“危機”,一時間引發全球科技巨頭關注。隨後,為了應對這起安全事件,不少科技公司企業都連夜修補了受影響的系統。
(相關閱讀:高危 Bug !Apache Log4j2 遠端程式碼執行漏洞:官方正加急修復中 !https://segmentfault.com/a/11...)
VMware 也在去年 12 月釋出了 VMware Horizon 伺服器的更新版本,解決了該漏洞問題,同時該公司還發布了許多其他包含易受攻擊的 Log4j 版本的產品的更新。
儘管如此,針對 VMware Horizon 伺服器的 Log4j 攻擊仍舊不斷持續且有增無減。越來越多的黑客及勒索組織接連在未應用安全補丁的 VMware Horizon 虛擬桌面平臺中大肆利用 Log4Shell 漏洞來部署勒索軟體及其他惡意程式包。
據微軟方面證實,早在今年 1 月 4 日,就有一個名為 DEV-0401 的勒索軟體團伙利用了 VMware Horizon 中的漏洞(CVE-2021-44228)成功入侵目標系統且植入了勒索軟體。
此次,朝鮮黑客組織 Lazarus 則是通過 Log4j 遠端程式碼執行漏洞注入後門的方式來對 VMware Horizon 實施攻擊的,CVE-2021-44228 (log4Shell) 是該已被跟蹤且用以識別該漏洞的 CVE ID,它影響了包括 VMware Horizon 在內的多種產品。
研究人員表示,這些黑客攻擊者通過使用後門惡意軟體“傳送命令/行命令”來收集額外資訊,“收集的資訊可以稍後用於橫向移動攻擊。”
“攻擊者利用 NukeSped 額外植入 infostealer,發現的兩種惡意軟體型別都是控制檯型別,並未將洩漏結果儲存在單獨的檔案中。因此,可以假定攻擊者遠端控制使用者 PC 的 GUI 螢幕或 pipeline 形式的洩漏資料”,研究人員補充稱。