朝鲜黑客组织 Lazarus 利用 Log4j 该软件攻击 VMware 服务器

近日，AhnLab 安全定时作出反应中心（ASEC）在一份一新简报中问到：“自 2022 年 4 同月以来，骇客有组织 Lazarus 长期以来通过 Log4j 远程代码制订防火墙，在并未分析方法安全补丁的 VMware Horizon 产品线上采集盗取文档的合理负载。”

据并称，这些攻击是在 4 同月末首次被找到的，韩国骇客有组织 Lazarus 运用 NukeSped 重新安装了一个额外的基于的系统的文档盗取恶意该软件，该该软件可采集存储在 Web 浏览器上的文档。

NukeSped 是一个可根据从远程送达者控制的域送达擅自以制订各种恶意社交活动的“侧门”。最早于 2018 年夏天被找到与韩国骇客有关，随后被找到与骇客有组织 Lazarus 策划人的 2020 年社交活动有关。

该 NukeSped 侧门的一些关键机能包被括：捕捉击键和截屏、访问电子系统的因特网摄像头、丢弃额外的合理载荷（如文档盗取者）等。

还记得去年 12 同月末，互联网上顿时曝出了 Log4j2 防火墙“危机”，一时间引发世界科技巨头关注。随后，为了应对这起安全事件，不少科技日本公司企业都连夜修补了不受影响的系统。

VMware 也在去年 12 同月发布新闻了 VMware Horizon 服务器的更一新旧版，消除了该防火墙解决办法，同时该日本公司还发布新闻了许多其他包被含易不受攻击的 Log4j 旧版的产品线的更一新。

尽管如此，针对 VMware Horizon 服务器的 Log4j 攻击仍旧迅速持续且有增无减。愈加多的骇客及偷盗有组织差一点在并未分析方法安全补丁的 VMware Horizon 虚拟图形界面平台中争相运用 Log4Shell 防火墙来调动偷盗该软件及其他恶意程序包被。

据微软方面证实，早在今年 1 同月 4 日，就有一个取名为 DEV-0401 的偷盗该软件帮派运用了 VMware Horizon 中的防火墙（CVE-2021-44228）顺利入侵目标系统且脑了偷盗该软件。

此次，韩国骇客有组织 Lazarus 则是通过 Log4j 远程代码制订防火墙流到侧门的方式来对 VMware Horizon 制订攻击的，CVE-2021-44228 (log4Shell) 是该已被跟踪且借以识别该防火墙的 CVE ID，它影响了包被括 VMware Horizon 在内的多种产品线。

数据分析管理人员问到，这些骇客送达者通过运用于侧门恶意该软件“发送擅自/在行擅自”来采集额外文档，“采集的文档可以稍后用于横向移动攻击。”

“送达者运用 NukeSped 额外脑 infostealer，找到的两种恶意该软件并不一定都是的系统并不一定，没有将出现异常结果保存在单独的文件中。因此，可以假定送达者远程控制运用于者 PC 的 GUI 鼠标或 pipeline 形式的出现异常数据”，数据分析管理人员补充并称。

参考链接：