กลุ่มแฮ็กเกอร์สัญชาติเกาหลีเหนือ ที่เป็นรู้จักกันในชื่อกลุ่ม Lazarus ได้ปฏิบัติการโจมตีโดยใช้ช่องโหว่ Log4J เพื่อวาง backdoor รวมถึง payload ที่ใช้สำหรับขโมยข้อมูลบนระบบ VMware Horizon servers
โดยช่องโหว่ CVE-2021-44228 หรือที่เรียกว่า Log4Shell ที่เกิดขึ้นเมื่อปีแล้วนั้น ส่งผลกระทบต่อผลิตภัณฑ์จำนวนมาก ซึ่ง VMware Horizon ก็เป็นหนึ่งในระบบที่ได้รับผลกระทบเช่นกัน
นักวิเคราะห์ที่ ASEC ของ Ahnlab ระบุว่ากลุ่ม Lazarus ได้กำหนดเป้าหมายการโจมตีรอบใหม่ไปยัง VMware Horizon ที่มีช่องโหว่ผ่าน Log4Shell ตั้งแต่เดือนเมษายน 2565 ซึ่งจริงๆแล้วช่องโหว่นี้ ถูกพบตั้งแต่เดือนมกราคม 2565 แต่ผู้ดูแลระบบจำนวนมากยังไม่ได้ทำการอัปเดตแพตช์
รายละเอียดการโจมตี
กลุ่ม Lazraus จะโจมตีโดยใช้ประโยชน์จากช่องโหว่ของ Log4j ผ่าน Apache Tomcat ของ VMware Horizon เพื่อดำเนินการรันคำสั่งบน PowerShell ในการติดตั้ง Backdoor ที่ชื่อว่า NukeSped
ซึ่ง NukeSped (หรือ NukeSpeed) เป็นมัลแวร์ที่เกี่ยวข้องกับแฮ็กเกอร์กลุ่ม DPRK ถูกพบครั้งแรกในฤดูร้อนปี 2561 และเชื่อมโยงกับแคมเปญในปี 2563 ที่ Lazarus จัดเตรียมไว้
หลังจาก NukeSped ถูกติดตั้ง มันจะทำการบันทึกกิจกรรมต่างๆของเครื่องที่ถูกติดตั้ง เช่น การจับภาพหน้าจอ บันทึกการกดปุ่ม การเข้าถึงไฟล์ ฯลฯ นอกจากนี้ NukeSped สามารถบันทึกข้อมูลที่พิมพ์บน Command Line ได้อีกด้วย
ล่าสุดมีรายงานว่า NukeSped มีการขโมยข้อมูลบน USB และยังสามารถเข้าถึงกล้องบน Labtop ได้อีกด้วย
ข้อมูลเพิ่มเติม
นอกจากนี้มีรายงานจากการวิเคราะห์ข้อมูลของ ASEC พบว่า Backdoor นี้ยังสามารถขโมยข้อมูลดังต่อไปนี้ได้อีกด้วย
- ข้อมูลบัญชี และประวัติการเข้าใช้งานที่จัดเก็บไว้ใน Google Chrome, Mozilla Firefox, Internet Explorer, Opera และ Naver Whale
- ข้อมูลบัญชีอีเมลที่เก็บไว้ใน Outlook Express, MS Office Outlook และ Windows Live Mail
- ชื่อไฟล์ที่ใช้ล่าสุดจาก MS Office (PowerPoint, Excel และ Word) และ Hancom 2010
ในบางกรณี พบว่า Lazarus กำลังติดตั้ง Jin Miner แทน NukeSped โดยใช้ประโยชน์จาก Log4Shell ในการทำ cryptocurrency mining
แนวทางการป้องกัน
เพื่อเป็นการป้องกัน ผู้ดูแลระบบควรตรวจสอบ และอัปเดตอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และหมั่นติดตามข่าวสารอย่างใกล้ชิด
ที่มา : bleepingcomputer.
You must be logged in to post a comment.