NukeSped“后门”重现：朝鲜黑客组织 Lazarus 利用 Log4j 漏洞攻击 VMware Horizon 服务器

近日，AhnLab 安全应急响应中心（ASEC）在一份新报告中表示：“自 2022 年 4 月以来，黑客组织 Lazarus 一直通过 Log4j 远程代码执行漏洞，在未应用安全补丁的 VMware Horizon 产品上收集窃取信息的有效负载。”

据称，这些攻击是在 4 月份首次被发现的，朝鲜黑客组织 Lazarus 利用 NukeSped 安装了一个额外的基于控制台的信息窃取恶意软件，该软件可收集存储在 Web 浏览器上的信息。

NukeSped 是一个可根据从远程攻击者控制的域接收命令以执行各种恶意活动的“后门”。最早于 2018 年夏天被发现与朝鲜黑客有关，随后被发现与黑客组织 Lazarus 策划的 2020 年活动有关。

该 NukeSped 后门的一些关键功能包括：捕捉击键和截屏、访问设备的网络摄像头、丢弃额外的有效载荷（如信息窃取者）等。

还记得去年 12 月份，互联网上突然曝出了 Log4j2 漏洞“危机”，一时间引发全球科技巨头关注。随后，为了应对这起安全事件，不少科技公司企业都连夜修补了受影响的系统。

（相关阅读：高危 Bug ！Apache Log4j2 远程代码执行漏洞：官方正加急修复中！https://segmentfault.com/a/11...）

VMware 也在去年 12 月发布了 VMware Horizon 服务器的更新版本，解决了该漏洞问题，同时该公司还发布了许多其他包含易受攻击的 Log4j 版本的产品的更新。

尽管如此，针对 VMware Horizon 服务器的 Log4j 攻击仍旧不断持续且有增无减。越来越多的黑客及勒索组织接连在未应用安全补丁的 VMware Horizon 虚拟桌面平台中大肆利用 Log4Shell 漏洞来部署勒索软件及其他恶意程序包。

据微软方面证实，早在今年 1 月 4 日，就有一个名为 DEV-0401 的勒索软件团伙利用了 VMware Horizon 中的漏洞（CVE-2021-44228）成功入侵目标系统且植入了勒索软件。

此次，朝鲜黑客组织 Lazarus 则是通过 Log4j 远程代码执行漏洞注入后门的方式来对 VMware Horizon 实施攻击的，CVE-2021-44228 (log4Shell) 是该已被跟踪且用以识别该漏洞的 CVE ID，它影响了包括 VMware Horizon 在内的多种产品。

研究人员表示，这些黑客攻击者通过使用后门恶意软件“发送命令/行命令”来收集额外信息，“收集的信息可以稍后用于横向移动攻击。”

“攻击者利用 NukeSped 额外植入 infostealer，发现的两种恶意软件类型都是控制台类型，并未将泄漏结果保存在单独的文件中。因此，可以假定攻击者远程控制用户 PC 的 GUI 屏幕或 pipeline 形式的泄漏数据”，研究人员补充称。