گروه Lazarus که گفته میشود با دولت کره شمالی در ارتباط است، از آسیبپذیری Log4j با شناسه CVE-2021-4228) که یک آسیبپذیری RCE است، برای به خطر انداختن سرورهای VMware Horizon سواستفاده میکند. طبق گزارشی که VMware منتشر کرده است، چندین گروه از ژانویه، از این آسیبپذیری برای به خطر انداختن سرورهای این شرکت سواستفاده کردهاند و در پی این موضوع، شرکت VMware از تمام مشتریان خود درخواست کرده است، آپدیت امنیتی مربوط به این آسیبپذیری را دانلود و نصب کنند.
محققان تیم تجزیه و تحلیل Anhab ASEC گزارش دادهاند که از آپریل 2022، گروه Lazarus از این آسیبپذیری در حملات علیه سرورهای VMware Horizon که دسترسی به سمت اینترنت داشتهاند، استفاده کرده است. زنجیره حمله با اکسپلویت از آسیبپذیری Log4j برای اجرای یک کامند پاورشل، با نام ‘ws_tomcatservice.exe’ میشود. کامند پاورشل بکدور NukeSped را روی سرور آسیبپذیر نصب میکند. این بکدور برای اولین توسط محققان شرکت Fortinet در سال 2019 تجزیه و تحلیل شد و آن را به گروه Lazarus نسبت دادهاند.
واریانت تحلیل شده توسط تیم ASEC با استفاده از زبان C++ توسعه یافته است و از توابع مجازی و الگوریتم RC4 برای ارتباطات C2 استفاده میکند. بکدور NukeSped میتواند وظایفی مانند کیلاگینگ، گرفتن اسکرینشات و … را انجام دهد. حتی آخرین نسخه این بکدور میتواند محتویات داخل USB را دامپ کرده و با استفاده از ماژولهای خاص به دوربین تحت وب دسترسی داشته باشد.
مهاجم از NukeSped برای نصب infostealer استفاده میکند. دو نوع بدافزار کشف شده هر دو از نوع کنسول هستند و نتیجه مربوط به نشت اطلاعات را در فایلهای جداگانه ذخیره نمیکنند. به این ترتیب فرض میشود که مهاجم از راهدور صفحه رابط کاربری گرافیکی رایانه شخصی هدف را کنترل کرده یا اطلاعات را توسط فرمهایی از سیستم هدف، به بیرون منتقل میکند. در برخی موارد مهاجمان از این آسیبپذیری برای نصب ماینر ارز دیجیتال Jin Miner به جای NukeSped استفاده کردهاند. محققان ASEC برای این حملات PoC نیز منتشر کردهاند.
