首页 > 安全 > 正文

朝鲜与朝鲜的拉撒路APT使用log4j来针对VMware服务器

最后更新 :2022.05.23

与朝鲜与朝鲜的Lazarus APT正在针对VMware Horizon服务器的攻击中利用Log4J远程代码执行(RCE)。

朝鲜链接的集团Lazarus正在利用Log4J RCE脆弱性(CVE-2021-2021--2021--2021--44228)要妥协VMware Horizon服务器。

自1月以来,多个威胁参与者正在利用这一缺陷,在1月份,VMware敦促客户对影响Internet暴露的VMware Horizon Server的log4j&nbsp'log4j  nbsp;

分析团队报告说,自2022年4月以来,拉撒路APT一直在针对VMware Horizon安装在线攻击中利用RCE。

攻击链开始,始于对Log4J脆弱性的利用来执行VMware Horizon的POWERSHELL命令'ws_tomcatservice.exe'。PowerShell命令在脆弱的SE上安装了Nukesped后门RVER,该后门首先由Fortinet研究人员在2019年对Lazarus APT进行了分析。

ASEC团队分析的变体使用C ++开发,它使用虚拟功能和RC4算法用于C2 Communications。[[[[

。123]

Nukped后门可以执行键盘记录,屏幕截图以及文件和外壳任务,最新版本可以使用特定的模块来倾倒USB内容,并访问Web摄像头设备。

攻击者使用nukesped nukesped nukesped to and supped nukesped to and sufted to and suft to and sufted nukesp安装InfoStealer。发现的两种恶意软件类型都是控制台类型,不是在单独的文件中保存泄漏结果。因此,假定攻击者远程控制了用户PC的GUI屏幕或管道表格中泄漏的数据。读取专家发表的分析。

在某些情况下,攻击者使用RCE来安装Jin Miner Cryptocurrency Miner而不是Nukesped。

ASEC研究人员发布了妥协指标。

 请投票给安全事务,这是最佳的欧洲网络安全博客作者奖2022投票给您的获奖者在“弱者最佳个人个人”中投票给我,这是这些攻击的ISE(IOC)。iom-npqmosfznjxrbqryjgcow/viewform

- END -

看更多