查看原文
其他

黑客组织利用Log4Shell 漏洞攻击美国能源企业

Liam Tung 代码卫士
2024-08-22

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


思科Talos团队的安全分析师指出,臭名昭著的密币窃取组织 Lazarus 组织正在利用Log4Shell 缺陷攻击位于北美和日本的能源企业,实施间谍行为。


Lazarus 组织攻击美加日能源提供商

分析师指出,Lazarus 黑客组织正在利用面向互联网的未修复VMware Horizon 服务器中的Log4j漏洞,获得位于美国、加拿大和日本能源提供商的初始访问权限。Lazarus组织部署自定义恶意软件进行长期监控。

Lazarus组织又被称为“Hidden Cobra” 和 APT38,因窃取加密企业数亿密币而为人所知。美国财政部在2019年因盗取密币和入侵银行系统,资助朝鲜核武器和弹道导弹计划而制裁Lazarus 组织。

组织机构应当在数月前就修复该漏洞。9月,CISA提醒组织机构称应修复VMware Horizon中的Log4Shell 缺陷,而此时距离VMware 发布补丁已过去九个月的时间。


伊朗MuddyWater攻击以色列组织机构


微软指出,伊朗情报安全部的黑客即MuddyWater也在最近利用Log4Shell攻陷位于以色列的组织机构,但通过以色列厂商未修复的包含Log4j的服务器软件实施攻陷。

获得未修复 VMware Horizon 服务器的访问权限后,Lazarus黑客组织部署勒自定义恶意软件植入VSingle、YamaBot 和被思科称之为 “MagicRAT” 的植入。思科披露了关于该黑客组织运营方式的更多详情。思科认为该组织旨在设立长期访问权限,以获取有价值的信息。

本周四,思科指出,“思科Talos团队将位于VMware Horizon公开服务器上的Log4Shell 漏洞识别为初始攻击向量,随后攻击者实施多起攻击,在系统上站稳脚跟,随后部署其它恶意软件并在网络内横向移动。”

攻陷Windows环境中的VMware Horizon 服务器后,黑客组织部署VSingle,设立反向shell发布任意命令,并禁用微软Defender杀毒软件。微软建议组织机构启用篡改防护措施。

该组织还通过Windows活动目录开展侦察活动、收割加密凭据并收集关于受感染系统逻辑驱动信息。在这一阶段,恶意人员也会检查远程桌面协议 (RDP)端口是否开启。

思科指出,“在侦察阶段,攻击者会检查RDP端口是否开放。如果开放,则攻击者解密任何所收割凭据,从而在无需安装任何后门的情况下直接访问系统。”

激活受感染系统上的后门和植入后,该组织删除了感染文件夹中的文件、终止任何活跃的Powershell 任务、删除所创建的任何账户并清除Windows Event日志。

思科表示,新发现的植入MagicRAT“非常简单”,因为该植入连接到攻击者的命令和控制服务器,从而具有能够执行任意命令的远程shell,使其能够重命名、移动并删除设备上的文件。同时它还具有端口扫描器。

第二个已知的远程访问工具 TigerRAT,连接到同样的C2,可使攻击者枚举系统并运行任意命令如屏幕截取、按键记录、文件管理和自卸载等。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读
奇安信发布《2022中国软件供应链安全分析报告》 谁会成为下一个Log4j2?
美国国土安全部:Log4j 漏洞的影响将持续十年或更久
亚马逊的 Log4j 热补丁易受提权漏洞影响
微软:攻击者利用SolarWinds Serv-U 0day发动 Log4j 攻击
Apache Log4j任意代码执行漏洞安全风险通告第三次更新



原文链接

https://www.zdnet.com/article/these-hackers-used-log4shell-vulnerability-to-target-us-energy-firms/


题图:Pixabay License‍



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

继续滑动看下一个
代码卫士
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存