Исследовательская организация по безопасности Cisco Talos недавно раскрыла печально известную группу киберугроз, связанную с Северной Кореей.Лазарь Группа». Эта операция получила название «Операция Кузнец» и характеризовалась применениемУязвимость Log4j(CVE-2021-44228, также известен какЖурнал4Shell) для развертывания ранее неизвестного трояна удаленного доступа (RAT) в целевой системе.
Талосэксперт по безопасностиЧон Су Ан, Ашир Малхотра и Витор Вентура рассказали, что Lazarus Group использовала три семейства вредоносных программ на основе языка DLang для выполнения атак, включая NineRAT RAT, DLRAT и загрузчик BottomLoader, который использует Telegram в качестве канала управления и контроля (C2). . устройство.
В техническом отчете указывалось, что новая тактика, принятая в этой операции, во многом совпадает с моделями поведения Андариэль, субкластера Лазаря (также известного как Ониксовый Слякот или Тихая Чоллима). Андариэль обычно фокусируется на первоначальном доступе, разведке и обеспечении долгосрочного доступа для поддержки стратегических интересов правительства Северной Кореи.
Целевая цепочка атак в основном сосредоточена в сферах производства, сельского хозяйства и физической безопасности посредством атак на общедоступные серверы VMWare Horizon. С момента своей первой разработки в мае 2022 года NineRAT использовался в многочисленных атаках, в том числе были совершены атаки на Юг. Американские сельскохозяйственные организации в марте этого года и нападения на европейские производственные предприятия в сентябре.
Данные показывают, что даже после двух лет публичного раскрытия приложения 2.8% по-прежнему используют версию Log4j с уязвимостями безопасности, тогда как приложение 3.8% использует версию Log4j 2.17.0, которая невосприимчива к атаке CVE-2021-44228. CVE-2021-44832.
После успешного заражения NineRAT выполняет еще одну проверку системы через связь C2 на основе Telegram, что указывает на то, что данные, собранные Lazarus через NineRAT, могут быть переданы другим группам APT и храниться отдельно от первоначально собранных данных.
В отчете также указано, что в атаке использовался специальный прокси-инструмент HazyLoad для использования критической уязвимости безопасности в JetBrains TeamCity (CVE-2023-42793, оценка CVSS 9,8). HazyLoad обычно загружается и выполняется с помощью вредоносного ПО BottomLoader.
Кроме того, операция «Кузнец» также включала развертывание DLRAT, который является не только загрузчиком, но и RAT, который может выполнять разведку системы, развертывать другие вредоносные программы, получать команды C2 и выполнять их в зараженной системе.
С другой стороны, Южнокорейский центр реагирования на чрезвычайные ситуации в сфере безопасности (ASEC) опубликовал отчет с подробным описанием другой северокорейской APT-группы Kimsuky (также известной как APT43, АРХИПЕЛАГО, Black Banshee, Emerald Sleet, Nickel Kimball и Velvet), связанной с Лазарусом Чоллимой). группа проводит целевые фишинговые атаки с использованием ложных вложений и ссылок.
Оригинал статьи, автор: Chief Security Assessment, при перепечатке указать источник: https://cncso.com/ru/lazarus-group-exploits-log4j-vulnerability.html
