安全研究机构Cisco Talos近日披露了一个由朝鲜有关联的臭名昭著的网络威胁团体“Lazarus Group”所发起的全球性攻击行动。这一行动被命名为“铁匠行动”(Operation Blacksmith),其特点是通过利用Log4j漏洞(CVE-2021-44228,又名Log4Shell)来在目标系统上部署先前未知的远程访问木马(RAT)。
Talos的安全专家Jung soo An、Asheer Malhotra和Vitor Ventura透露,Lazarus Group运用三种基于DLang语言的恶意软件系列执行攻击,包括使用Telegram作为命令和控制(C2)通道的NineRAT RAT、DLRAT和一种名为BottomLoader的下载器。
一份技术报告中指出,这次行动中采取的新战术与Lazarus旗下的一个子集群Andariel(亦称为Onyx Sleet或Silent Chollima)的行为模式有显著的重叠。Andariel通常专注于初始访问、侦察和建立长期访问权限,进而支持朝鲜政府的战略利益。
针对目标的攻击链主要集中在制造业、农业和物理安全领域,通过对公开访问的VMWare Horizon服务器进行攻击,并自2022年5月首次被开发后,NineRAT已在多次攻击中被部署,包括今年3月对南美农业组织的攻击和9月对欧洲制造业实体的攻击。
数据显示,即便经过两年的公开披露,仍有2.8%的应用程序使用存在安全漏洞的Log4j版本,而3.8%的应用程序使用的Log4j 2.17.0版本虽免疫于CVE-2021-44228攻击,却易受CVE-2021-44832攻击。
在成功感染后,NineRAT会通过电报(Telegram)基础的C2通信进行再次的系统指纹识别,这表明Lazarus通过NineRAT收集的数据可能与其他APT组织共享,并且与最初收集的数据分别存储。
报告还揭示了一种名为HazyLoad的定制代理工具,在攻击中被用来利用JetBrains TeamCity中的关键安全漏洞(CVE-2023-42793,CVSS得分9.8)。HazyLoad通常通过名为BottomLoader的恶意软件进行下载和执行。
此外,“铁匠行动”还涉及到DLRAT的部署,该软件不仅是下载器,也是RAT,可执行系统侦察、部署其他恶意软件、接收C2命令并在受感染的系统中执行。
另一方面,韩国安全应急响应中心(ASEC)发布了一份报告,详细介绍了与Lazarus有关的另一朝鲜APT组织Kimsuky(也被称为APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Nickel Kimball和Velvet Chollima),该组织通过带有诱饵附件和链接的鱼叉式网络钓鱼攻击。
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/lazarus-group-exploits-log4j-vulnerability.html
