Log4Shell有漏洞 北韓駭攻美加日
存在於Java紀錄框架Apache Log4j中的Log4Shell(CVE-2021-44228)為一任意程式執行漏洞,在2021年11月間被公布出來;而未於VMware Horizon中修補該漏洞的美國、加拿大與日本的能源供應商,在今年2月到7月間,遭受北韓駭客集團 Lazarus攻擊,在這些組織的系統內植入其它惡意程式。
資安業者Cisco Talos指出,Lazarus把VMware產品中的Log4Shell漏洞當作進入企業網路的初步通道,繼之再部署該集團所開發的惡意程式,以常駐於受害網路上,目的是為了竊取這些組織的機密資訊與智慧財產,以進行間諜活動或是支持北韓政府的目標。
由於VMware Horizon是以管理權限執行,使得駭客完全不必擔心權限問題,並在進入受害網路之後,關閉系統的防毒元件。甚至連比利時國防部都因此遭受嚴重的攻擊,即使在第一時間內隔離受影響的部份設備,但還是造成國防部的一些活動癱瘓,郵件系統甚至停機了好幾天。
駭客只需利用一個精心設計的記錄檔訊息就能經由 Log4Shell 漏洞在遠端電腦上執行程式碼,由於這項漏洞的潛在衝擊龐大,因此它在 CVSS 2.0 與 CSVV 3.x 漏洞評分系統的危險等級分別被列為 10.0 與 9.3 。而這波鎖定加拿大、美國與日本能源供應商的攻擊活動中,Lazarus集團使用了3種客製化惡意程式,其中的兩款是已知的VSingle與YamaBot,以及新的MagicRAT。
VSingle早在去年3月就被公開,它是個HTTP機器人,能與遠端的C&C伺服器通訊,以自遠端執行任意程式,或是下載與執行外掛程式;YamaBot則是個以Golang撰寫的惡意程式,原本鎖定Linux平臺,但亦有支援Windows的版本,兩個版本皆允許駭客自遠端執行命令,至於新發現的MagicRAT使用與VSingle及YamaBot不同的C&C伺服器,功能亦是用來維繫駭客對系統的存取能力。(記者/白水堯)
瀏覽 826 次