El grupo de piratas informáticos de Corea del Norte conocido como Lazarus está explotando la vulnerabilidad de ejecución remota de código Log4J para inyectar puertas traseras que obtienen cargas útiles de robo de información en los servidores VMware Horizon. La vulnerabilidad se rastrea como CVE-2021-44228, también conocida como Log4Shell, y afecta a muchos productos, incluido VMware Horizon. La explotación de las implementaciones vulnerables de Horizon comenzó en enero de 2022, pero muchos administradores aún no han aplicado las actualizaciones de seguridad disponibles.
Impacto de la vulnerabilidad
Para iniciar el ataque, los atacantes explotan la vulnerabilidad Log4j (Log4Shell) a través del servicio Apache Tomcat de Vmware Horizon para ejecutar un comando de PowerShell. Este comando de PowerShell conducirá en última instancia a la instalación de la puerta trasera NukeSped en el servidor. NukeSped es un malware de puerta trasera asociado por primera vez con piratas informáticos de la RPDC en el verano de 2018 y luego vinculado a una campaña de 2020 orquestada por Lazarus.
El malware analizado por ASEC puede robar los siguientes datos:
- Credenciales de cuenta e historial de navegación almacenados en Google Chrome, Mozilla Firefox, Internet Explorer, Opera y Naver Whale.
- Información de la cuenta de correo electrónico almacenada en Outlook Express, MS Office Outlook y Windows Live Mail.
- Nombres de archivos usados recientemente de MS Office (PowerPoint, Excel y Word) y Hancom 2010.
En algunos ataques, se observó a Lazarus desplegando Jin Miner en lugar de NukeSped aprovechando Log4Shell.
Productos afectados
A continuación se detalla el productos y versiones afectadas
| Product Component | Affected Versions |
| VMware Horizon | 2111, 7.13.1, 7.10.3 |
| Log4J | From 2.0-beta9 to 2.14.1 |
Para mas información acerca de las versiones afectadas y corregidas de VMware Horizon y Log4J , dirigirse a los sitios oficiales de la empresa.
NukeSped realiza varias operaciones de espionaje en el entorno comprometido, como tomar capturas de pantalla, grabar pulsaciones de teclas, acceder a archivos, etc. Además, NukeSped admite comandos de línea de comandos. El análisis del registro ASD del sistema infectado muestra que antes de que el grupo Lazarus instalara NukeSped, otros atacantes ya habían explotado la vulnerabilidad para instalar Jin Miner. Jin Miner es una variedad de malware que se distribuye a través de la vulnerabilidad Log4Shell.
IOC relacionados a NukeSped
- 87a6bda486554ab16c82bdfb12452e8b (Backdoor/Win.NukeSped.R487407) (2022.04.23.02)
- 830bc975a04ab0f62bfedf27f7aca673 (Trojan/Win.Andardoor.C5094639) (2022.04.21.01)
- 131fc4375971af391b459de33f81c253 (Backdoor/Win.NukeSped.R486619) (2022.04.21.00)
- 827103a6b6185191fd5618b7e82da292 (Backdoor/Win.NukeSped.R486595) (2022.04.20.03)
- 1875f6a68f70bee316c8a6eda9ebf8de (Backdoor/Win.NukeSped.R486595) (2022.04.20.03)
- hxxp://185[.]29.8[.]18/htroy.exe
- 185[.]29.8[.]18:8888
- 84[.]38.133[.]145:443
- 84[.]38.133[.]16:8443
- mail.usengineergroup[.]com:8443
- svc[.]exe
- srvCredit[.]exe
- runhostw[.]exe
- javarw[.]exe
IOCs relacionados a Jin Miner
- 7a19c59c4373cadb4556f7e30ddd91ac (CoinMiner/BAT.Generic) (2022.05.11.03)
- c2412d00eb3b4bccae0d98e9be4d92bb (CoinMiner/BAT.Generic) (2022.05.11.03)
- 8c8a38f5af62986a45f2ab4f44a0b983 (Win-Trojan/Miner3.Exp) (2020.01.29.00)
- 7ef97450e84211f9f35d45e1e6ae1481 (Win-Trojan/Miner3.Exp) (2020.01.29.00)
- dd4b8a2dc73a29bc7a598148eb8606bb (Unwanted/Win32.NSSM.R353938) (2020.10.27.00)
- hxxp://iosk[.]org/pms/add.bat
- hxxp://iosk[.]org/pms/mad.bat
- hxxp://iosk[.]org/pms/jin.zip
- hxxp://iosk[.]org/pms/jin-6.zip
Recomendaciones
- La acción prioritaria es actualizar Log4J a la versión 2.17.1 o superior, a través de los administradores de paquetes habituales.
- Para la versión 2111 actualizar a Build 8.4.0-19446757.
- Para la versión 7131 actualizar a Build 7.13.1-19362017.
- Para la versión 7103 actualizar a Build 7.10.3-19361780.
Para mas información
- https://www.bleepingcomputer.com/news/security/lazarus-hackers-target-vmware-servers-with-log4shell-exploits/
- https://asec.ahnlab.com/en/34461/
- https://kippeo.com/como-me-afecta-y-como-actuar-ante-la-vulnerabilidad-cve-2021-44228-log4shell/
- https://kb.vmware.com/s/article/87073
- https://logging.apache.org/log4j/2.x/security.html