北韓駭客集團利用Log4Shell漏洞攻擊美國、加拿大與日本的能源供應商

資安業者Cisco Talos近日揭露，存在於Java紀錄框架Apache Log4j中的Log4Shell漏洞（CVE-2021-44228），持續成為駭客入侵組織的起始點，北韓駭客集團 Lazarus 從今年2月到7月間，鎖定了未於VMware Horizon中修補該漏洞的美國、加拿大與日本的能源供應商展開攻擊，以於這些組織的系統內植入其它惡意程式。

2021年11月被公布的Log4Shell為一任意程式執行漏洞，其CVSS風險等級高達10，大約有20個Apache專案受到Log4Shell漏洞的影響，而因為採用Log4j或相關專案而受到波及的商業服務則不計其數，安永會計師事務所（Ernest & Young）曾估計93%的雲端環境都存在風險，而VMware的虛擬桌面及程式管理平臺VMware Horizon也是眾多受害者之一。

Cisco Talos指出，Lazarus把VMware產品中的Log4Shell漏洞當作進入企業網路的初步通道，繼之再部署該集團所開發的惡意程式，以常駐於受害網路上，目的是為了竊取這些組織的機密資訊與智慧財產，以進行間諜活動或是支持北韓政府的目標。由於VMware Horizon是以管理權限執行，使得駭客完全不必擔心權限問題，並在進入受害網路之後，關閉系統的防毒元件。

圖片來源／Cisco Talos

在這波鎖定加拿大、美國與日本能源供應商的攻擊活動中，Lazarus集團使用了3種客製化惡意程式，其中的兩款是已知的VSingle與YamaBot，以及新的MagicRAT。

VSingle早在去年3月就被公開，它是個HTTP機器人，能與遠端的C&C伺服器通訊，以自遠端執行任意程式，或是下載與執行外掛程式；YamaBot則是個以Golang撰寫的惡意程式，原本鎖定Linux平臺，但亦有支援Windows的版本，兩個版本皆允許駭客自遠端執行命令，至於新發現的MagicRAT使用與VSingle及YamaBot不同的C&C伺服器，功能亦是用來維繫駭客對系統的存取能力。

另有資安專家建議，在部署涉及Log4Shell的軟體漏洞時，最好先確定現有的漏洞尚未被駭客開採，再進行軟體更新，否則也許早就遭駭客滲透而不自知。