安全企业Cisco Talos近日披露,存在于Java记录框架Apache Log4j中的Log4Shell漏洞(CVE-2021-44228),持续成为黑客入侵组织的起始点,朝鲜黑客集团Lazarus从今年2月到7月间,锁定了未于VMware Horizon中修补该漏洞的美国、加拿大与日本的能源供应商展开攻击,以于这些组织的系统内植入其它恶意程序。
2021年11月被公布的Log4Shell为一任意程序执行漏洞,其CVSS风险等级高达10,大约有20个Apache项目受到Log4Shell漏洞的影响,而因为采用Log4j或相关项目而受到波及的商业服务则不计其数,安永会计师事务所(Ernest & Young)曾估计93%的云计算环境都存在风险,而VMware的虚拟桌面及程序管理平台VMware Horizon也是众多受害者之一。
Cisco Talos指出,Lazarus把VMware产品中的Log4Shell漏洞当作进入企业网络的初步信道,之后再部署该集团所开发的恶意程序,以常驻于受害网络上,目的是为了窃取这些组织的机密资讯与知识产权,以进行间谍活动或是支持朝鲜政府的目标。由于VMware Horizon是以管理权限执行,使得黑客完全不必担心权限问题,并在进入受害网络之后,关闭系统的杀毒组件。
图片来源/Cisco Talos
在这波锁定加拿大、美国与日本能源供应商的攻击活动中,Lazarus集团使用了3种定制化恶意程序,其中的两款是已知的VSingle与YamaBot,以及新的MagicRAT。
VSingle早在去年3月就被公开,它是个HTTP机器人,能与远程的C&C服务器通信,以自远程执行任意程序,或是下载与执行插件程序;YamaBot则是个以Golang撰写的恶意程序,原本锁定Linux平台,但也有支持Windows的版本,两个版本皆允许黑客自远程执行命令,至于新发现的MagicRAT使用与VSingle及YamaBot不同的C&C服务器,功能也是用来维系黑客对系统的访问能力。
另有安全专家建议,在部署涉及Log4Shell的软件漏洞时,最好先确定现有的漏洞尚未被黑客开采,再进行软件更新,否则也许早就遭黑客渗透而不自知。