Lazarus olarak bilinen Kuzey Koreli bilgisayar korsanlığı grubu, VMware Horizon sunucularından sistemlere sızmak ve bilgi çalmak için Log4Shell Expolit’leri kullanmaya başladı. Güvenlik açığı, CVE-2021-44228 diğer adıyla Log4Shell olarak biliniyor ve VMware Horizon dahil birçok ürünü etkiliyor. Güvenlik açığı bulunan Horizon dağıtımlarından yararlanma, Ocak 2022’de başladı ancak buna rağmen birçok yönetici henüz mevcut güvenlik güncellemelerini uygulamış değil.
VMware Horizon sunucuları hedefleniyor,
Saldırıyı bir PowerShell komutu yürütmek için Vmware Horizon’un Apache Tomcat hizmeti aracılığıyla başlıyor. Bu PowerShell komutu, NukeSped backdoor’un sunucuya yüklenmesini sağlıyor.
NukeSped (veya NukeSpeed), ilk olarak 2018 yazında DPRK bilgisayar korsanlarıyla ilişkilendirilen ve ardından Lazarus tarafından 2020 düzenlenen saldırılarda kullanılmış. NukeSped, ele geçirilmiş ortamda ekran görüntüsü alma, tuşaları kaydetme, dosyalara erişme vb. gibi çeşitli casusluk işlemlerini gerçekleştirir. Ayrıca NukeSped komut satırı komutlarını destekler. Mevcut NukeSped modelinde görülen iki yeni modül, biri USB içeriklerini boşaltmak ve diğeri web kamera cihazlarına erişmek için kullanılıyor.
- Daha spesifik olarak, ASEC tarafından analiz edilen kötü amaçlı yazılım aşağıdaki verileri çalabiliyor:
- Google Chrome, Mozilla Firefox, Internet Explorer, Opera ve Naver Whale’daki hesap kimlik bilgileri ve tarama geçmişini çalma.
- Outlook Express, MS Office Outlook ve Windows Live Mail’de depolanan e-posta hesabı bilgileri.
- MS Office (PowerPoint, Excel ve Word) ve Hancom 2010’dan son kullanılan dosyaların adları.
Log4Shell devam ediyor
Nisan ayında, güvenlik analistleri, Log4Shell saldırı yüzeyinin çok büyük olduğunu ve pratik zorluklar nedeniyle uzun süre devam edeceğini hatırlattı ve Log4Shell’in önemini yitirdiği yanılsamasına kapılmamak gerektiği uyarısında bulundu.
Kaynak: bleepingcomputer.com