Maksym Kaharlytskyi on unsplash
資安業者Cisco Talos近日揭露,存在於Java紀錄框架Apache Log4j中的Log4Shell漏洞(CVE-2021-44228),持續成為駭客入侵組織的起始點,北韓駭客集團 Lazarus 從今年2月到7月間,鎖定了未於VMware Horizon中修補該漏洞的美國、加拿大與日本的能源供應商展開攻擊,以於這些組織的系統內植入其它惡意程式。
2021年11月被公布的Log4Shell為一任意程式執行漏洞,其CVSS風險等級高達10,大約有20個Apache專案受到Log4Shell漏洞的影響,而因為採用Log4j或相關專案而受到波及的商業服務則不計其數,安永會計師事務所(Ernest & Young)曾估計93%的雲端環境都存在風險,而VMware的虛擬桌面及程式管理平臺VMware Horizon也是眾多受害者之一。
Cisco Talos指出,Lazarus把VMware產品中的Log4Shell漏洞當作進入企業網路的初步通道,繼之再部署該集團所開發的惡意程式,以常駐於受害網路上,目的是為了竊取這些組織的機密資訊與智慧財產,以進行間諜活動或是支持北韓政府的目標。由於VMware Horizon是以管理權限執行,使得駭客完全不必擔心權限問題,並在進入受害網路之後,關閉系統的防毒元件。
圖片來源/Cisco Talos
在這波鎖定加拿大、美國與日本能源供應商的攻擊活動中,Lazarus集團使用了3種客製化惡意程式,其中的兩款是已知的VSingle與YamaBot,以及新的MagicRAT。
VSingle早在去年3月就被公開,它是個HTTP機器人,能與遠端的C&C伺服器通訊,以自遠端執行任意程式,或是下載與執行外掛程式;YamaBot則是個以Golang撰寫的惡意程式,原本鎖定Linux平臺,但亦有支援Windows的版本,兩個版本皆允許駭客自遠端執行命令,至於新發現的MagicRAT使用與VSingle及YamaBot不同的C&C伺服器,功能亦是用來維繫駭客對系統的存取能力。
另有資安專家建議,在部署涉及Log4Shell的軟體漏洞時,最好先確定現有的漏洞尚未被駭客開採,再進行軟體更新,否則也許早就遭駭客滲透而不自知。
熱門新聞
2024-10-13
2024-10-13
2024-10-11
2024-10-11
2024-10-11
2024-10-12