乐趣区

关于log4j:NukeSped后门重现朝鲜黑客组织-Lazarus-利用-Log4j-漏洞攻击-VMware-Horizon-服务器

近日,AhnLab 平安应急响应核心(ASEC)在一份新报告中示意:“自 2022 年 4 月以来,黑客组织 Lazarus 始终通过 Log4j 近程代码执行破绽,在未利用安全补丁的 VMware Horizon 产品上收集窃取信息的无效负载。”

据称,这些攻打是在 4 月份首次被发现的,朝鲜黑客组织 Lazarus 利用 NukeSped 装置了一个额定的基于控制台的信息窃取恶意软件,该软件可收集存储在 Web 浏览器上的信息。

NukeSped 是一个可依据从近程攻击者管制的域接管命令以执行各种歹意流动的“后门”。最早于 2018 年夏天被发现与朝鲜黑客无关,随后被发现与黑客组织 Lazarus 策动的 2020 年流动无关。

该 NukeSped 后门的一些要害性能包含:捕获击键和截屏、拜访设施的网络摄像头、抛弃额定的有效载荷(如信息窃取者)等。

还记得去年 12 月份,互联网上忽然曝出了 Log4j2 破绽“危机”,一时间引发寰球科技巨头关注。随后,为了应答这起安全事件,不少科技公司企业都连夜修补了受影响的零碎。

(相干浏览:高危 Bug!Apache Log4j2 近程代码执行破绽:官网正加急修复中!https://segmentfault.com/a/11…)

VMware 也在去年 12 月公布了 VMware Horizon 服务器的更新版本,解决了该破绽问题,同时该公司还公布了许多其余蕴含易受攻击的 Log4j 版本的产品的更新。

尽管如此,针对 VMware Horizon 服务器的 Log4j 攻打仍旧一直继续且有增无减。越来越多的黑客及勒索组织接连在未利用安全补丁的 VMware Horizon 虚构桌面平台中大肆利用 Log4Shell 破绽来部署勒索软件及其他恶意程序包。

据微软方面证实,早在往年 1 月 4 日,就有一个名为 DEV-0401 的勒索软件团伙利用了 VMware Horizon 中的破绽(CVE-2021-44228)胜利入侵指标零碎且植入了勒索软件。

此次,朝鲜黑客组织 Lazarus 则是通过 Log4j 近程代码执行破绽注入后门的形式来对 VMware Horizon 施行攻打的,CVE-2021-44228 (log4Shell) 是该已被跟踪且用以辨认该破绽的 CVE ID,它影响了包含 VMware Horizon 在内的多种产品。

钻研人员示意,这些黑客攻击者通过应用后门恶意软件“发送命令 / 行命令”来收集额定信息,“收集的信息能够稍后用于横向挪动攻打。”

“攻击者利用 NukeSped 额定植入 infostealer,发现的两种恶意软件类型都是控制台类型,并未将透露后果保留在独自的文件中。因而,能够假设攻击者近程管制用户 PC 的 GUI 屏幕或 pipeline 模式的透露数据”,钻研人员补充称。

参考链接:http://en.hackdig.com/05/3454…

退出移动版