鑽石舞台

分析師指出，Lazarus 黑客組織正在利用面向互聯網的未修復VMware Horizon 服務器中的Log4j漏洞，獲得位於美國、加拿大和日本能源提供商的初始訪問權限。Lazarus組織部署自定義惡意軟件進行長期監控。

Lazarus組織又被稱為「Hidden Cobra」 和 APT38，因竊取加密企業數億密幣而為人所知。美國財政部在2019年因盜取密幣和入侵銀行系統，資助朝鮮核武器和彈道導彈計劃而制裁Lazarus 組織。

組織機構應當在數月前就修復該漏洞。9月，CISA提醒組織機構稱應修復VMware Horizon中的Log4Shell 缺陷，而此時距離VMware 發布補丁已過去九個月的時間。

微軟指出，伊朗情報安全部的黑客即MuddyWater也在最近利用Log4Shell攻陷位於以色列的組織機構，但通過以色列廠商未修復的包含Log4j的服務器軟件實施攻陷。

獲得未修復 VMware Horizon 服務器的訪問權限後，Lazarus黑客組織部署勒自定義惡意軟件植入VSingle、YamaBot 和被思科稱之為 「MagicRAT」 的植入。思科披露了關於該黑客組織運營方式的更多詳情。思科認為該組織旨在設立長期訪問權限，以獲取有價值的信息。

本周四，思科指出，「思科Talos團隊將位於VMware Horizon公開服務器上的Log4Shell 漏洞識別為初始攻擊向量，隨後攻擊者實施多起攻擊，在系統上站穩腳跟，隨後部署其它惡意軟件並在網絡內橫向移動。」

攻陷Windows環境中的VMware Horizon 服務器後，黑客組織部署VSingle，設立反向shell發布任意命令，並禁用微軟Defender殺毒軟件。微軟建議組織機構啟用篡改防護措施。

該組織還通過Windows活動目錄開展偵察活動、收割加密憑據並收集關於受感染系統邏輯驅動信息。在這一階段，惡意人員也會檢查遠程桌面協議 (RDP)端口是否開啟。

思科指出，「在偵察階段，攻擊者會檢查RDP端口是否開放。如果開放，則攻擊者解密任何所收割憑據，從而在無需安裝任何後門的情況下直接訪問系統。」

激活受感染系統上的後門和植入後，該組織刪除了感染文件夾中的文件、終止任何活躍的Powershell 任務、刪除所創建的任何賬戶並清除Windows Event日誌。

思科表示，新發現的植入MagicRAT「非常簡單」，因為該植入連接到攻擊者的命令和控制服務器，從而具有能夠執行任意命令的遠程shell，使其能夠重命名、移動並刪除設備上的文件。同時它還具有端口掃描器。

第二個已知的遠程訪問工具 TigerRAT，連接到同樣的C2，可使攻擊者枚舉系統並運行任意命令如屏幕截取、按鍵記錄、文件管理和自卸載等。

題圖：Pixabay License‍

本文由奇安信編譯，不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。

奇安信代碼衛士 (codesafe)

國內首個專注於軟件開發安全的產品線。

覺得不錯，就點個「在看」 或 "贊」 吧~