Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Северокорейцы Lazarus атакуют VMware Horizon через уязвимость Log4Shell

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 03-27-2025, 05:51 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Хакерская группировка Lazarus атакует уязвимые продукты VMware через Log4Shell с прошлого месяца.

Северокорейская киберпреступная группировка Lazarus эксплуатирует нашумевшую уязвимость в утилите журналирования Log4j для внедрения бэкдоров на серверы VMware Horizon с целью их дальнейшего заражения вредоносным ПО для кражи данных.
Речь идет об уязвимости удаленного выполнения кода CVE-2021-44228 , также известной как Log4Shell, которая затрагивает множество продуктов, в том числе VMware Horizon.
Хакеры начали эксплуатировать уязвимые серверы Horizon в январе 2022 года, и многие остаются уязвимыми и по сей день, несмотря на наличие доступных обновлений безопасности.
Согласно отчету Ahnlab ASEC, группировка Lazarus атакует уязвимые продукты VMware через Log4Shell с прошлого месяца.
В самом начале атаки злоумышленники эксплуатируют уязвимость в Log4j через сервис Apache Tomcat в Vmware Horizon, чтобы выполнить команду PowerShell. В конечном итоге эта команда приводит к установке на сервере бэкдора NukeSped (NukeSpeed), связываемого экспертами с КНДР.
Последний вариант бэкдора, проанализированный специалистами ASEC, написан на C++ и использует шифрование RC4 для безопасной связи с C&C-инфраструктурой. Ранее NukeSped использовал XOR.
В скомпрометированной среде NukeSped выполняет разные задачи по кибершпионажу, в частности, делает скриншоты, записывает нажатия кнопок на клавиатуре, получает доступ к файлам и пр. Более того, он поддерживает команды командной строки. В новом варианте бэкдора также присутствуют два новых модуля – для похищения USB-контента и доступа к web-камерам.
Lazarus использует NukeSped для установки дополнительного консольного инфостилера, похищающего следующие данные:
Учетные данные и историю браузинга из Google Chrome, Mozilla Firefox, Internet Explorer, Opera и Naver Whale;
Данные электронной почты из Outlook Express, MS Office Outlook и Windows Live Mail;
Имена недавно использовавшихся файлов в MS Office (PowerPoint, Excel и Word) и Hancom 2010.
В некоторых случаях вместо NukeSped через уязвимость Log4Shell группировка Lazarus развертывает майнер криптовалюты Jin Miner.
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 10:00 PM.

Contact Us - Carder.life - Archive - Top