استفاده از آسیب‌پذیری Log4j توسط گروه Lazarus

آسیب پذیری Log4j

گروه Lazarus که گفته می‌شود با دولت کره شمالی در ارتباط است، از آسیب‌پذیری Log4j با شناسه CVE-2021-4228) که یک آسیب‌پذیری RCE است، برای به خطر انداختن سرورهای VMware Horizon سواستفاده می‌کند. طبق گزارشی که VMware منتشر کرده است، چندین گروه از ژانویه، از این آسیب‌پذیری برای به خطر انداختن سرورهای این شرکت سواستفاده کرده‌اند و در پی این موضوع، شرکت VMware از تمام مشتریان خود درخواست کرده است، آپدیت امنیتی مربوط به این آسیب‌پذیری را دانلود و نصب کنند.

محققان تیم تجزیه و تحلیل Anhab ASEC گزارش داده‌اند که از آپریل 2022، گروه Lazarus از این آسیب‌پذیری در حملات علیه سرورهای VMware Horizon که دسترسی به سمت اینترنت داشته‌اند، استفاده کرده است. زنجیره حمله با اکسپلویت از آسیب‌پذیری Log4j برای اجرای یک کامند پاورشل، با نام ‘ws_tomcatservice.exe’ می‌شود. کامند پاورشل بکدور NukeSped را روی سرور آسیب‌پذیر نصب می‌کند. این بکدور برای اولین توسط محققان شرکت Fortinet در سال 2019 تجزیه و تحلیل شد و آن را به گروه Lazarus نسبت داده‌اند.

واریانت تحلیل شده توسط تیم ASEC با استفاده از زبان C++ توسعه یافته است و از توابع مجازی و الگوریتم RC4 برای ارتباطات C2 استفاده می‌کند. بکدور NukeSped می‌تواند وظایفی مانند کی‌لاگینگ، گرفتن اسکرین‌شات و … را انجام دهد. حتی آخرین نسخه این بکدور می‌تواند محتویات داخل USB را دامپ کرده و با استفاده از ماژول‌های خاص به دوربین تحت وب دسترسی داشته باشد.

مهاجم از NukeSped برای نصب infostealer استفاده می‌کند. دو نوع بدافزار کشف شده هر دو از نوع کنسول هستند و نتیجه مربوط به نشت اطلاعات را در فایل‌های جداگانه ذخیره نمی‌کنند. به این ترتیب فرض می‌شود که مهاجم از راه‌دور صفحه رابط کاربری گرافیکی رایانه شخصی هدف را کنترل کرده یا اطلاعات را توسط فرم‌هایی از سیستم هدف، به بیرون منتقل می‌کند. در برخی موارد مهاجمان از این آسیب‌پذیری برای نصب ماینر ارز دیجیتال Jin Miner به جای NukeSped استفاده کرده‌اند. محققان ASEC برای این حملات PoC نیز منتشر کرده‌اند.

 

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.