Er is waargenomen dat de door Noord-Korea gesteunde Lazarus Group gebruikmaakt van de Log4Shell-kwetsbaarheid in VMware Horizon-servers om de NukeSped (ook bekend als Manuscrypt) implanteren tegen doelen in zijn zuidelijke tegenhanger.
“De aanvaller gebruikte de Log4j-kwetsbaarheid op VMware Horizon-producten die niet met de beveiligingspatch waren toegepast”, AhnLab Security Emergency Response Center (ASEC) zei in een nieuw rapport.
De inbraken zouden voor het eerst zijn ontdekt in april, hoewel meerdere dreigingsactoren, waaronder die welke banden hebben met China en Iran, de afgelopen maanden dezelfde aanpak hebben gevolgd om hun doelen te bereiken.
NukeSped is een achterdeur die verschillende kwaadaardige activiteiten kan uitvoeren op basis van opdrachten die zijn ontvangen van een domein dat door een aanvaller wordt beheerd. Vorig jaar onthulde Kaspersky een spear-phishing-campagne gericht op het stelen van kritieke gegevens van defensiebedrijven met behulp van een NukeSped-variant genaamd ThreatNeedle.
Enkele van de belangrijkste functies van de achterdeur variëren van het vastleggen van toetsaanslagen en het maken van schermafbeeldingen tot toegang tot de webcam van het apparaat en het laten vallen van extra ladingen zoals informatiediefstal.
De stealer-malware, een console-gebaseerd hulpprogramma, is ontworpen om accounts en wachtwoorden te exfiltreren die zijn opgeslagen in webbrowsers zoals Google Chrome, Mozilla Firefox, Internet Explorer, Opera en Naver Whale, evenals informatie over e-mailaccounts en onlangs geopende Microsoft Office en Hancom bestanden.
“De aanvaller verzamelde aanvullende informatie door backdoor-malware NukeSped te gebruiken om commandoregelcommando’s te verzenden”, aldus de onderzoekers. “De verzamelde informatie kan later worden gebruikt bij laterale bewegingsaanvallen.”
