Lazarus Fidye Çetesi, Log4Shell Expolit’ler İle VMware Sistemlere Saldırıyor

Lazarus olarak bilinen Kuzey Koreli bilgisayar korsanlığı grubu, VMware Horizon sunucularından sistemlere sızmak ve bilgi çalmak için Log4Shell Expolit’leri kullanmaya başladı. Güvenlik açığı, CVE-2021-44228 diğer adıyla  Log4Shell olarak biliniyor ve VMware Horizon dahil birçok ürünü etkiliyor. Güvenlik açığı bulunan Horizon dağıtımlarından yararlanma, Ocak 2022’de başladı ancak buna rağmen birçok yönetici henüz mevcut güvenlik güncellemelerini uygulamış değil.

VMware Horizon sunucuları hedefleniyor,

Saldırıyı bir PowerShell komutu yürütmek için Vmware Horizon’un Apache Tomcat hizmeti aracılığıyla başlıyor. Bu PowerShell komutu, NukeSped backdoor’un sunucuya yüklenmesini sağlıyor.

NukeSped (veya NukeSpeed), ilk olarak 2018 yazında DPRK bilgisayar korsanlarıyla ilişkilendirilen ve ardından Lazarus tarafından 2020 düzenlenen saldırılarda kullanılmış. NukeSped, ele geçirilmiş ortamda ekran görüntüsü alma, tuşaları kaydetme, dosyalara erişme vb. gibi çeşitli casusluk işlemlerini gerçekleştirir. Ayrıca NukeSped komut satırı komutlarını destekler. Mevcut NukeSped modelinde görülen iki yeni modül, biri USB içeriklerini boşaltmak ve diğeri web kamera cihazlarına erişmek için kullanılıyor.

Log4Shell devam ediyor

Nisan ayında, güvenlik analistleri, Log4Shell  saldırı yüzeyinin çok büyük olduğunu  ve pratik zorluklar nedeniyle uzun süre devam edeceğini hatırlattı ve Log4Shell’in önemini yitirdiği yanılsamasına kapılmamak gerektiği uyarısında bulundu.

Kaynak: bleepingcomputer.com

Exit mobile version