朝鲜黑客利用Log4Shell漏洞攻击美国、加拿大、日本能源供应商
Cisco Talos 发现 Lazarus 集团在今年的一波攻击,主要锁定 VMware Horizon 环境中含有 Log4Shell 漏洞的能源业者。Lazarus 此前曾被美国网络安全和基础设施安全局 (CISA) 归咎于朝鲜政府。
Cisco Talos 发现 Lazarus 集团在今年的一波攻击,主要锁定 VMware Horizon 环境中含有 Log4Shell 漏洞的能源业者。Lazarus 此前曾被美国网络安全和基础设施安全局 (CISA) 归咎于朝鲜政府。
在于 Java 纪录框架 Apache Log4j 中的 Log4Shell 漏洞(CVE-2021-44228),持续成为黑客入侵组织的起始点,朝鲜黑客集团 Lazarus 从今年 2 月到 7 月间,锁定了 VMware Horizon 中修补该漏洞的美国、加拿大与日本的能源供应商并展开攻击,并在这些组织的系统内植入其它恶意程序。
据悉,思科曾评估这些攻击是由朝鲜国家支持的威胁组织 Lazarus Group 发起的。在 Cisco Talos 调查中,确定了威胁参与者使用的三种不同的 RAT,包括由 Lazarus 独家开发和分发的 VSingle 和 YamaBot。日本 CERT (JPCERT/CC) 最近发布了报告(VSingle、YamaBot),详细描述了它们并将这些活动归因于 Lazarus 威胁参与者。
2021 年 11 月被公布的 Log4Shell 为一任意程序执行漏洞,其 CVSS 风险等级高达 10,大约有 20 个 Apache 专案受到 Log4Shell 漏洞的影响,而因为采用 Log4j 或相关专案而受到波及的商业服务则不计其数,安永会计师事务所(Ernest & Young)曾估计 93% 的云端环境都存在风险,而 VMware 的虚拟桌面及程序管理平台 VMware Horizon 也是众多受害者之一。
Cisco Talos 指出,Lazarus 把 VMware 产品中的 Log4Shell 漏洞当作进入企业网络的初步通道,继之再部署该集团所开发的恶意程序,以常驻于受害网络上,目的是为了窃取这些组织的机密资讯与智慧财产,以进行间谍活动或是支持朝鲜政府的目标。由于 VMware Horizon 是以管理权限执行,使得黑客完全不必担心权限问题,并在进入受害网络之后,关闭系统的防毒软件。
在这波攻击被锁定的加拿大、美国与日本能源供应商的攻击活动中,Lazarus 集团使用了 3 种客制化恶意程序,其中的两款是已知的 VSingle 与 YamaBot,以及新的 MagicRAT。
VSingle 早在去年 3 月就被公开,它是个 HTTP 机器人,能与远端的 C&C 伺服器通讯,以自远端执行任意程序,或是下载与执行外挂程序;YamaBot 则是个以 Golang 撰写的恶意程序,原本锁定 Linux 平台,但亦有支援 Windows 的版本,两个版本皆允许黑客自远端执行命令,至于新发现的 MagicRAT 使用与 VSingle 及 YamaBot 不同的 C&C 伺服器,功能亦是用来维系黑客对系统的存取能力。
网络安全专家建议,在部署涉及 Log4Shell 的软件漏洞时,最好先确定现有的漏洞尚未被黑客开采,再进行软件更新,否则也许早就遭客黑渗透而不自知。
在于 Java 纪录框架 Apache Log4j 中的 Log4Shell 漏洞(CVE-2021-44228),持续成为黑客入侵组织的起始点,朝鲜黑客集团 Lazarus 从今年 2 月到 7 月间,锁定了 VMware Horizon 中修补该漏洞的美国、加拿大与日本的能源供应商并展开攻击,并在这些组织的系统内植入其它恶意程序。
据悉,思科曾评估这些攻击是由朝鲜国家支持的威胁组织 Lazarus Group 发起的。在 Cisco Talos 调查中,确定了威胁参与者使用的三种不同的 RAT,包括由 Lazarus 独家开发和分发的 VSingle 和 YamaBot。日本 CERT (JPCERT/CC) 最近发布了报告(VSingle、YamaBot),详细描述了它们并将这些活动归因于 Lazarus 威胁参与者。
2021 年 11 月被公布的 Log4Shell 为一任意程序执行漏洞,其 CVSS 风险等级高达 10,大约有 20 个 Apache 专案受到 Log4Shell 漏洞的影响,而因为采用 Log4j 或相关专案而受到波及的商业服务则不计其数,安永会计师事务所(Ernest & Young)曾估计 93% 的云端环境都存在风险,而 VMware 的虚拟桌面及程序管理平台 VMware Horizon 也是众多受害者之一。
Cisco Talos 指出,Lazarus 把 VMware 产品中的 Log4Shell 漏洞当作进入企业网络的初步通道,继之再部署该集团所开发的恶意程序,以常驻于受害网络上,目的是为了窃取这些组织的机密资讯与智慧财产,以进行间谍活动或是支持朝鲜政府的目标。由于 VMware Horizon 是以管理权限执行,使得黑客完全不必担心权限问题,并在进入受害网络之后,关闭系统的防毒软件。
在这波攻击被锁定的加拿大、美国与日本能源供应商的攻击活动中,Lazarus 集团使用了 3 种客制化恶意程序,其中的两款是已知的 VSingle 与 YamaBot,以及新的 MagicRAT。
VSingle 早在去年 3 月就被公开,它是个 HTTP 机器人,能与远端的 C&C 伺服器通讯,以自远端执行任意程序,或是下载与执行外挂程序;YamaBot 则是个以 Golang 撰写的恶意程序,原本锁定 Linux 平台,但亦有支援 Windows 的版本,两个版本皆允许黑客自远端执行命令,至于新发现的 MagicRAT 使用与 VSingle 及 YamaBot 不同的 C&C 伺服器,功能亦是用来维系黑客对系统的存取能力。
网络安全专家建议,在部署涉及 Log4Shell 的软件漏洞时,最好先确定现有的漏洞尚未被黑客开采,再进行软件更新,否则也许早就遭客黑渗透而不自知。
关于作者
评论0次