朝鮮黑客利用Log4Shell漏洞攻擊美國、加拿大、日本能源供應商

Cisco Talos發現Lazarus 集團在今年的一波攻擊，主要鎖定VMware Horizon環境中含有Log4Shell漏洞的能源業者。Lazarus 此前曾被美國網絡安全和基礎設施安全局 (CISA)歸咎于朝鮮政府。

在于Java紀錄框架Apache Log4j中的Log4Shell漏洞（CVE-2021-44228），持續成為黑客入侵組織的起始點，朝鮮黑客集團Lazarus 從今年2月到7月間，鎖定了VMware Horizon中修補該漏洞的美國、加拿大與日本的能源供應商并展開攻擊，并在這些組織的系統內植入其它惡意程序。

據悉，思科曾評估這些攻擊是由朝鮮國家支持的威脅組織 Lazarus Group 發起的。在Cisco Talos調查中，確定了威脅參與者使用的三種不同的 RAT，包括由 Lazarus 獨家開發和分發的 VSingle 和 YamaBot。日本 CERT (JPCERT/CC) 最近發布了報告（VSingle、YamaBot），詳細描述了它們并將這些活動歸因于 Lazarus 威脅參與者。

2021年11月被公布的Log4Shell為一任意程序執行漏洞，其CVSS風險等級高達10，大約有20個Apache專案受到Log4Shell漏洞的影響，而因為采用Log4j或相關專案而受到波及的商業服務則不計其數，安永會計師事務所（Ernest & Young）曾估計93%的云端環境都存在風險，而VMware的虛擬桌面及程序管理平臺VMware Horizon也是眾多受害者之一。

Cisco Talos指出，Lazarus把VMware產品中的Log4Shell漏洞當作進入企業網絡的初步通道，繼之再部署該集團所開發的惡意程序，以常駐于受害網絡上，目的是為了竊取這些組織的機密資訊與智慧財產，以進行間諜活動或是支持朝鮮政府的目標。由于VMware Horizon是以管理權限執行，使得黑客完全不必擔心權限問題，并在進入受害網絡之后，關閉系統的防毒軟件。

在這波攻擊被鎖定的加拿大、美國與日本能源供應商的攻擊活動中，Lazarus集團使用了3種客制化惡意程序，其中的兩款是已知的VSingle與YamaBot，以及新的MagicRAT。

VSingle早在去年3月就被公開，它是個HTTP機器人，能與遠端的C&C伺服器通訊，以自遠端執行任意程序，或是下載與執行外掛程序；YamaBot則是個以Golang撰寫的惡意程序，原本鎖定Linux平臺，但亦有支援Windows的版本，兩個版本皆允許黑客自遠端執行命令，至于新發現的MagicRAT使用與VSingle及YamaBot不同的C&C伺服器，功能亦是用來維系黑客對系統的存取能力。

網絡安全專家建議，在部署涉及Log4Shell的軟件漏洞時，最好先確定現有的漏洞尚未被黑客開采，再進行軟件更新，否則也許早就遭客黑滲透而不自知。