Log4Shell有漏洞　北韓駭攻美加日

存在於Java紀錄框架Apache Log4j中的Log4Shell（CVE-2021-44228）為一任意程式執行漏洞，在2021年11月間被公布出來；而未於VMware Horizon中修補該漏洞的美國、加拿大與日本的能源供應商，在今年2月到7月間，遭受北韓駭客集團 Lazarus攻擊，在這些組織的系統內植入其它惡意程式。

資安業者Cisco Talos指出，Lazarus把VMware產品中的Log4Shell漏洞當作進入企業網路的初步通道，繼之再部署該集團所開發的惡意程式，以常駐於受害網路上，目的是為了竊取這些組織的機密資訊與智慧財產，以進行間諜活動或是支持北韓政府的目標。

由於VMware Horizon是以管理權限執行，使得駭客完全不必擔心權限問題，並在進入受害網路之後，關閉系統的防毒元件。甚至連比利時國防部都因此遭受嚴重的攻擊，即使在第一時間內隔離受影響的部份設備，但還是造成國防部的一些活動癱瘓，郵件系統甚至停機了好幾天。

駭客只需利用一個精心設計的記錄檔訊息就能經由 Log4Shell 漏洞在遠端電腦上執行程式碼，由於這項漏洞的潛在衝擊龐大，因此它在 CVSS 2.0 與 CSVV 3.x 漏洞評分系統的危險等級分別被列為 10.0 與 9.3 。而這波鎖定加拿大、美國與日本能源供應商的攻擊活動中，Lazarus集團使用了3種客製化惡意程式，其中的兩款是已知的VSingle與YamaBot，以及新的MagicRAT。

VSingle早在去年3月就被公開，它是個HTTP機器人，能與遠端的C&C伺服器通訊，以自遠端執行任意程式，或是下載與執行外掛程式；YamaBot則是個以Golang撰寫的惡意程式，原本鎖定Linux平臺，但亦有支援Windows的版本，兩個版本皆允許駭客自遠端執行命令，至於新發現的MagicRAT使用與VSingle及YamaBot不同的C&C伺服器，功能亦是用來維繫駭客對系統的存取能力。（記者／白水堯）

瀏覽 670 次