Lazarus Bilgisayar Korsanları Log4Shell İstismarlarını Kullanarak VMware Sunucularına Saldırıyor

En önde gelen Kuzey Kore hack gruplarından biri olan Lazarus, "NukeSped" olarak bilinen Log4J RCE güvenlik açığını, VMware Horizon sunucularına arka kapılar enjekte etmek için kullandı.

CVE-2021-44228 (log4Shell), izlenen CVE Kimliğidir ve VMware Horizon da dahil olmak üzere çok çeşitli ürünleri etkileyen bu güvenlik açığını tanımlar.

Ahnlab'ın ASEC'indeki Siber Güvenlik analistleri tarafından, Nisan 2022'den bu yana Lazarus grubunun arkasındaki tehdit aktörlerinin Log4Shell aracılığıyla savunmasız VMware ürünlerini hedef aldığı iddia edildi.

Ocak 2022'de, Horizon dağıtımlarında güvenlik açıklarının bulunduğu tespit edildi. Ancak, birçok yönetici hala en son güvenlik güncelleştirmelerini uygulamamıştır.

VMware Horizon Sunucuları Hedef Alındı

Vmware Horizon'un Apache Tomcat hizmeti, Log4j güvenlik açığından yararlanmak üzere PowerShell komutunu yürütmek amacıyla tehdit aktörleri tarafından istismar edilmiştir.

Bu PowerShell komutunu çalıştırarak, sunucudaki NukeSped arka kapısının yüklenmesi çok muhtemeldir.

NukeSped gibi arka kapı kötü amaçlı yazılımları, C&C sunucusundan komutlar alabilir ve bunları saldırgan adına yürütebilir. 2018 yazında NukeSped, DPRK'ya bağlı bilgisayar korsanlarıyla ilişkilendirildi ve daha sonra Lazarus tarafından sahnelenen bir 2020 kampanyasına bağlandı.

En son varyantta, C ++ dili tercih edilen lehçedir ve RC4 şifrelemesi kullanılarak C2 ile güvenli iletişim sağlanır. Önceki sürümünde ise XOR şifrelemesi kullanılıyordu.

Operasyonlar

Tehlikeli koşullar altında, NukeSped çeşitli casusluk faaliyetleri gerçekleştirir ve burada aşağıda bahsettik:

• Ekran görüntüsü alma
• Tuş basmalarını kaydetme
• Dosyalara erişim
• Komut satırı komutları için destek

Şu anda, mevcut NukeSped varyantının parçası olan, biri USB cihazlarından içerik boşaltan ve diğeri web kameralarına erişmenizi sağlayan iki modül var.

Hedeflenen Veri

Kötü amaçlı yazılımlar tarafından çalınabilecek birkaç veri türü vardır ve bunlar aşağıda belirtilmiştir:

• Hesap kimlik bilgileri
• Arama geçmişi
• E-posta hesap bilgileri
• MS Office'ten son kullanılan dosyaların adları

Bazı saldırılarda Log4Shell aracılığıyla NukeSped yerine Jin Miner kullanarak Lazarus'un görülebildiği durumlar olmuştur.

Son Lazarus olayı, bir Windows hedefleme kampanyasında LoLBins kullanan bir kötü amaçlı yazılım kampanyasının bilinen ikinci örneğidir. Diğeri, macOS ve Windows bilgisayarlarda kripto madenciliği kötü amaçlı yazılımlarının kullanılmasıydı.

Hacker grubu tarafından saldırıları için kullanılan çeşitli taktikleri vurgulamak için, bunların üstüne Log4Shell'in istismarı var.