NukeSped“后门”重现:朝鲜黑客组织 Lazarus 利用 Log4j 漏洞攻击 VMware 服务器
技术编辑:MissD丨发自 思否编辑部
公众号:SegmentFault
近日,AhnLab 安全应急响应中心(ASEC)在一份新报告中表示:“自 2022 年 4 月以来,黑客组织 Lazarus 一直通过 Log4j 远程代码执行漏洞,在未应用安全补丁的 VMware Horizon 产品上收集窃取信息的有效负载。”
据称,这些攻击是在 4 月份首次被发现的,朝鲜黑客组织 Lazarus 利用 NukeSped 安装了一个额外的基于控制台的信息窃取恶意软件,该软件可收集存储在 Web 浏览器上的信息。
NukeSped 是一个可根据从远程攻击者控制的域接收命令以执行各种恶意活动的“后门”。最早于 2018 年夏天被发现与朝鲜黑客有关,随后被发现与黑客组织 Lazarus 策划的 2020 年活动有关。
该 NukeSped 后门的一些关键功能包括:捕捉击键和截屏、访问设备的网络摄像头、丢弃额外的有效载荷(如信息窃取者)等。
还记得去年 12 月份,互联网上突然曝出了 Log4j2 漏洞“危机”,一时间引发全球科技巨头关注。随后,为了应对这起安全事件,不少科技公司企业都连夜修补了受影响的系统。
相关阅读:高危 Bug !Apache Log4j2 远程代码执行漏洞:官方正加急修复中 !
VMware 也在去年 12 月发布了 VMware Horizon 服务器的更新版本,解决了该漏洞问题,同时该公司还发布了许多其他包含易受攻击的 Log4j 版本的产品的更新。
尽管如此,针对 VMware Horizon 服务器的 Log4j 攻击仍旧不断持续且有增无减。越来越多的黑客及勒索组织接连在未应用安全补丁的 VMware Horizon 虚拟桌面平台中大肆利用 Log4Shell 漏洞来部署勒索软件及其他恶意程序包。
据微软方面证实,早在今年 1 月 4 日,就有一个名为 DEV-0401 的勒索软件团伙利用了 VMware Horizon 中的漏洞(CVE-2021-44228)成功入侵目标系统且植入了勒索软件。
此次,朝鲜黑客组织 Lazarus 则是通过 Log4j 远程代码执行漏洞注入后门的方式来对 VMware Horizon 实施攻击的,CVE-2021-44228 (log4Shell) 是该已被跟踪且用以识别该漏洞的 CVE ID,它影响了包括 VMware Horizon 在内的多种产品。
研究人员表示,这些黑客攻击者通过使用后门恶意软件“发送命令/行命令”来收集额外信息,“收集的信息可以稍后用于横向移动攻击。”
“攻击者利用 NukeSped 额外植入 infostealer,发现的两种恶意软件类型都是控制台类型,并未将泄漏结果保存在单独的文件中。因此,可以假定攻击者远程控制用户 PC 的 GUI 屏幕或 pipeline 形式的泄漏数据”,研究人员补充称。
参考链接:http://en.hackdig.com/05/345441.htm


关注公众号:拾黑(shiheibook)了解更多
赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- 卢布汇率人民币2024年10月2日
- Zorin OS适合Linux新人的桌面操作系统
- 3.22-24南京见!PLF自有品牌展观众名单来咯!
- 【杂谈快报】字节跳动裁员:头条抖音飞书等均有优化名额;抖音上线桌面端聊天软件“抖音聊天”
- 小牛进入瓶颈期
- 新势力“后来者”岚图 ,是有硬实力,还是靠背景?
- 鸿蒙走向万物互联
- 网购老年人,谁的下酒菜?
- 2021 年 10 月 TIOBE 指数榜:Python 超越 C 语言成 20 多年来的新霸主
- 拜登撤销对TikTok和微信禁令;币安、火币等关键词疑似被百度、微博屏蔽;华为鸿蒙OS升级用户破千万|Do早报
- 荐书 | 《赶超的阶梯:国企改革和产业升级的国际比较》
- 防范化解科技重大风险的思路与对策建议