安全研究機構Cisco Talos近日披露了一個由北韓有關聯的臭名昭著的網路威脅團體“Lazarus Group」所發動的全球性攻擊行動。這項行動被命名為「鐵匠行動」(Operation Blacksmith),其特徵是透過利用Log4j漏洞(CVE-2021-44228,又名Log4Shell)來在目標系統上部署先前未知的遠端存取木馬(RAT)。
Talos的安全專家Jung soo An、Asheer Malhotra和Vitor Ventura透露,Lazarus Group運用三種基於DLang語言的惡意軟體系列執行攻擊,包括使用Telegram作為命令和控制(C2)通道的NineRAT RAT、DLRAT和一種名為BottomLoader的下載器。
一份技術報告中指出,這次行動中採取的新戰術與Lazarus旗下的一個子集群Andariel(也稱為Onyx Sleet或Silent Chollima)的行為模式有顯著的重疊。 Andariel通常專注於初始訪問、偵察和建立長期訪問權限,進而支持北韓政府的戰略利益。
針對目標的攻擊鏈主要集中在製造業、農業和實體安全領域,透過對公開存取的VMWare Horizon伺服器進行攻擊,並自2022年5月首次開發後,NineRAT已在多次攻擊中被部署,包括今年3月對南美農業組織的攻擊和9月對歐洲製造業實體的攻擊。
數據顯示,即便經過兩年的公開揭露,仍有2.8%的應用程式使用存在安全漏洞的Log4j版本,而3.8%的應用程式使用的Log4j 2.17.0版本雖免疫於CVE-2021-44228攻擊,卻易受CVE-2021-44832攻擊。
在成功感染後,NineRAT會透過電報(Telegram)基礎的C2通訊進行再次的系統指紋識別,這表明Lazarus透過NineRAT收集的數據可能與其他APT組織共享,並且與最初收集的數據分別儲存。
報告還揭示了一種名為HazyLoad的客製化代理工具,在攻擊中被用來利用JetBrains TeamCity中的關鍵安全漏洞(CVE-2023-42793,CVSS得分9.8)。 HazyLoad通常透過名為BottomLoader的惡意軟體進行下載和執行。
此外,「鐵匠行動」還涉及DLRAT的部署,該軟體不僅是下載器,也是RAT,可執行系統偵察、部署其他惡意軟體、接收C2命令並在受感染的系統中執行。
另一方面,韓國安全緊急應變中心(ASEC)發布了一份報告,詳細介紹了與Lazarus有關的另一朝鮮APT組織Kimsuky(也稱為APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Nickel Kimball和Velvet Chollima),該組織透過帶有誘餌附件和連結的魚叉式網路釣魚攻擊。
原文文章,作者:首席安全官,如若轉載,請註明出處:https://cncso.com/tw/lazarus-group-exploits-log4j-vulnerability.html