Peligroso grupo de hackers está atacando servidores VMware con exploits de Log4Shell
El grupo de hackers de Corea del Norte conocido como Lazarus está explotando la vulnerabilidad de ejecución remota de código Log4J. El objetivo de los ataques es inyectar puertas traseras que despliegan exploits de robo de información en servidores VMware Horizon.
La vulnerabilidad identificada como CVE-2021-44228, también conocida como Log4Shell, afecta a muchos productos, incluido VMware Horizon.
La explotación de las implementaciones vulnerables de Horizon comenzó en enero de 2022. No obstante, muchos administradores aún no han aplicado las actualizaciones de seguridad disponibles.
Según un informe publicado por analistas de ASEC de Ahnlab, Lazarus ha estado apuntando a productos VMware vulnerables a través de Log4Shell desde abril de 2022.
Atacando servidores VMware Horizon
Para iniciar el ataque, los ciberdelincuentes explotan la vulnerabilidad Log4j a través del servicio Apache Tomcat de Vmware Horizon para ejecutar un comando de PowerShell. Este comando de PowerShell conduce en última instancia a la instalación de la puerta trasera NukeSped en el servidor.
NukeSped (o NukeSpeed) es un malware de puerta trasera asociado por primera vez con hackers de Corea Del Norte en junio del 2018. Posteriormente, el malware fue vinculado a una campaña de 2020 organizada por Lazarus.
La última variante muestreada y analizada por ASEC está escrita en C++ y utiliza cifrado RC4 para comunicarse de forma segura con la infraestructura de comando y control (C2). Anteriormente, usaba XOR.
NukeSped realiza varias operaciones de espionaje en el entorno comprometido, como tomar capturas de pantalla, grabar pulsaciones de teclas, acceder a archivos, etc. Además, NukeSped admite comandos de línea de comandos.
Los investigadores han observado dos nuevos módulos en la variante actual de NukeSped. El primero es para descargar contenido de USBs y el segundo para acceder a dispositivos de cámara web.
Robo de información
Lazarus usa NukeSped para instalar un malware adicional de ladrón de información basado en la consola. Este malware recopila información almacenada en los navegadores web.
Más concretamente, el malware analizado por ASEC puede robar los siguientes datos:
- Credenciales de cuenta e historial de navegación almacenados en Google Chrome, Mozilla Firefox, Internet Explorer, Opera y Naver Whale.
- Información de la cuenta de correo electrónico almacenada en Outlook Express, MS Office Outlook y Windows Live Mail.
- Nombres de archivos usados recientemente de MS Office (PowerPoint, Excel y Word) y Hancom 2010.
En algunos ataques, se observó a Lazarus desplegando Jin Miner en lugar de NukeSped aprovechando Log4Shell.
Dado que Jin Miner es un minero de criptomonedas, Lazarus probablemente lo usó en sistemas menos críticos destinados a obtener ganancias monetarias en lugar de ciberespionaje.
Log4Shell sigue siendo un problema
Desde principios de año, se detectó a Lazarus usando LoLBins en campañas dirigidas a Windows y aplicaciones maliciosas de criptomonedas. Esto para comprometer las computadoras con Windows y macOS.
La explotación de Log4Shell se suma a estos para subrayar la variedad de tácticas utilizadas por el grupo de hacking. Asimismo, demuestra que la vulnerabilidad crítica de RCE sigue siendo un problema de seguridad importante.
En marzo, la mayoría de los intentos de explotación fueron llevados a cabo por botnets. Es decir, los ataques se centraron en sistemas poco atendidos y de menor importancia.
En abril, los analistas de seguridad recordaron al público que la superficie de ataque de Log4Shell sigue siendo enorme y persistirá durante mucho tiempo debido a desafíos prácticos.
Los intentos de explotación de los actores de amenazas sofisticados son muy pocos para registrarlos en las estadísticas. Sin embargo, esto no debería crear la ilusión de que Log4Shell se ha vuelto insignificante.