Lazarus использует уязвимость Log4Shell двухлетней давности для доставки троянов - «Новости» » Интернет технологии
sitename
Комментарии в профилях Steam используются для управления малварью - «Новости»
Комментарии в профилях Steam используются для управления малварью - «Новости»
 В VS Code нашли 0-day-уязвимость, позволявшую похищать токены GitHub - «Новости»
В VS Code нашли 0-day-уязвимость, позволявшую похищать токены GitHub - «Новости»
 F6: группировка SiribClone атакует российских военных через Telegram и шпионское ПО - «Новости»
F6: группировка SiribClone атакует российских военных через Telegram и шпионское ПО - «Новости»
 В Microsoft заявили, что не будут преследовать исследователей за публикацию 0-day-эксплоитов - «Новости»
В Microsoft заявили, что не будут преследовать исследователей за публикацию 0-day-эксплоитов - «Новости»
 Второй ежеквартальный номер «Хакера» уже едет к читателям - «Новости»
Второй ежеквартальный номер «Хакера» уже едет к читателям - «Новости»
 «Достойный наследник Dark Messiah of Might and Magic»: ролевой экшен Fatekeeper порадовал пользователей Steam, но не всех - «Новости сети»
«Достойный наследник Dark Messiah of Might and Magic»: ролевой экшен Fatekeeper порадовал пользователей Steam, но не всех - «Новости сети»
 Второе сюжетное дополнение к Vampire: The Masquerade — Bloodlines 2 завершит поддержку игры — трейлер и дата выхода The Flower & The Flame - «Новости сети»
Второе сюжетное дополнение к Vampire: The Masquerade — Bloodlines 2 завершит поддержку игры — трейлер и дата выхода The Flower & The Flame - «Новости сети»
 Wildberries разрабатывает отечественный мессенджер — его уже используют сотрудники - «Новости сети»
Wildberries разрабатывает отечественный мессенджер — его уже используют сотрудники - «Новости сети»
 Google выпустила мультимодальную ИИ-модель Gemma 4 12B, которая запустится прямо на ноутбуке - «Новости сети»
Google выпустила мультимодальную ИИ-модель Gemma 4 12B, которая запустится прямо на ноутбуке - «Новости сети»
 Мессенджер MAX удалили из Apple App Store — VK подтвердила, что попробует вернуть его на iPhone - «Новости сети»
Мессенджер MAX удалили из Apple App Store — VK подтвердила, что попробует вернуть его на iPhone - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Lazarus использует уязвимость Log4Shell двухлетней давности для доставки троянов - «Новости»

✔Lazarus использует уязвимость Log4Shell двухлетней давности для доставки троянов - «Новости»

15 декабря 2023 632 Новости / Изображения / Заработок / Добавления стилей / Самоучитель CSS / Преимущества стилей / Вёрстка / Текст 0

Эксперты предупредили, что северокорейская хакерская группа Lazarus продолжает эксплуатировать уязвимость Log4Shell (CVE-2021-44228). Теперь баг используется для развертывания трех ранее неизвестных семейств малвари, написанных на языке DLang.


По информации Cisco Talos, проблема Log4Shell используется для доставки троянов удаленного доступа NineRAT и DLRAT, а также загрузчика вредоносного ПО BottomLoader. Отмечается, что язык программирования D (DLang) редко встречается в киберпреступных операциях, и Lazarus, вероятно, выбрали его для разработки новой малвари умышленно, стараясь избежать обнаружения.


Эксперты называют эту кампанию Operation Blacksmith. Сообщается, что она началась примерно в марте 2023 года и была направлена на производственные, сельскохозяйственные и охранные компании по всему миру.


Вредонос NineRAT, является первым из двух новых RAT Lazarus. Он использует API Telegram для связи с управляющим сервером, включая получение команд и эксфильтрацию файлов со взломанных компьютеров.


В состав NineRAT входит дроппер, который отвечает за обеспечение устойчивости и запуск основных двоичных файлов малвари.


Вредоносная программа поддерживает следующие команды, которые принимаются через Telegram:



  • info — сбор предварительной информации о зараженной системе;

  • setmtoken — задать значение токена;

  • setbtoken — задать новый токен бота;

  • setinterval — задать временной интервал между запросами к Telegram-каналу;

  • setleep — установить период времени, в течение которого малварь должна находиться в спящем режиме;

  • upgrade — обновление до новой версии;

  • exit — завершить выполнение вредоносной программы;

  • uninstall — удалить себя;

  • sendfile — отправить файл с зараженной машины на управляющий сервер.


Второй вредонос, DLRAT, представляет собой троян и загрузчик, который Lazarus использует для внедрения дополнительных полезных нагрузок в зараженную систему.


Первым делом DLRAT выполняет на устройстве жестко закодированные команды для сбора предварительной информации о системе (данные об ОС, MAC-адресе сети и так далее) и отправляет собранные данные на свой управляющий сервер. В ответ сервер сообщает внешний IP-адрес жертвы и одну из следующих команд для выполнения:



  • deleteme — удалить вредоносную программу из системы с помощью BAT-файла;

  • download — скачать файлы из указанного удаленного источника;

  • rename — переименовать файлы в зараженной системе;

  • iamsleep — перевести малварь в спящий режим на заданный период времени;

  • upload — загрузить файлы на C&C-сервер;

  • showurls — пока не реализовано.


Наконец, аналитики Cisco обнаружили BottomLoader, загрузчик малвари, который получает и выполняет полезную нагрузку с жестко заданного URL с помощью PowerShell, а также закрепляется в системе путем изменения каталога Startup.


Кроме того, BottomLoader тоже позволяет передавать файлы из зараженной системы на управляющий сервер, что дает хакерам определенную операционную гибкость.





Атаки, обнаруженные экспертами, связаны с использованием критической уязвимости  Log4Shell (CVE-2021-44228). Хотя с момента ее обнаружения и исправления прошло больше двух лет, Log4Shell по-прежнему представляет собой серьезную проблему, так как далеко не все устанавливают патчи вовремя.


Целью атак Lazarus были публично доступные серверы VMWare Horizon, использующие уязвимую версию библиотеки Log4j, что позволяло злоумышленникам осуществлять удаленное выполнение кода.


После компрометации хакеры развертывали в системе прокси-инструмент для постоянного доступа к взломанному серверу, выполняли разведывательные команды, создавали новые учетные записи администраторов и использовали такие инструменты для кражи учетных данных, как ProcDump и MimiKatz.


На втором этапе атаки группировка разворачивала в системе NineRAT, как уже было описано выше.


Аналитики Cisco полагают, что Lazarus, вероятно, снабжает другие группировки и кластеры, данными, собранными при помощи NineRAT. Это предположение основано на том, что NineRAT в некоторых случаях выполняет «повторный фигнерпринтинг»  системы, то есть может выполнять сбор данных для разных группировок.


Эксперты предупредили, что северокорейская хакерская группа Lazarus продолжает эксплуатировать уязвимость Log4Shell (CVE-2021-44228). Теперь баг используется для развертывания трех ранее неизвестных семейств малвари, написанных на языке DLang. По информации Cisco Talos, проблема Log4Shell используется для доставки троянов удаленного доступа NineRAT и DLRAT, а также загрузчика вредоносного ПО BottomLoader. Отмечается, что язык программирования D (DLang) редко встречается в киберпреступных операциях, и Lazarus, вероятно, выбрали его для разработки новой малвари умышленно, стараясь избежать обнаружения. Эксперты называют эту кампанию Operation Blacksmith. Сообщается, что она началась примерно в марте 2023 года и была направлена на производственные, сельскохозяйственные и охранные компании по всему миру. Вредонос NineRAT, является первым из двух новых RAT Lazarus. Он использует API Telegram для связи с управляющим сервером, включая получение команд и эксфильтрацию файлов со взломанных компьютеров. В состав NineRAT входит дроппер, который отвечает за обеспечение устойчивости и запуск основных двоичных файлов малвари. Вредоносная программа поддерживает следующие команды, которые принимаются через Telegram: info — сбор предварительной информации о зараженной системе; setmtoken — задать значение токена; setbtoken — задать новый токен бота; setinterval — задать временной интервал между запросами к Telegram-каналу; setleep — установить период времени, в течение которого малварь должна находиться в спящем режиме; upgrade — обновление до новой версии; exit — завершить выполнение вредоносной программы; uninstall — удалить себя; sendfile — отправить файл с зараженной машины на управляющий сервер. Второй вредонос, DLRAT, представляет собой троян и загрузчик, который Lazarus использует для внедрения дополнительных полезных нагрузок в зараженную систему. Первым делом DLRAT выполняет на устройстве жестко закодированные команды для сбора предварительной информации о системе (данные об ОС, MAC-адресе сети и так далее) и отправляет собранные данные на свой управляющий сервер. В ответ сервер сообщает внешний IP-адрес жертвы и одну из следующих команд для выполнения: deleteme — удалить вредоносную программу из системы с помощью BAT-файла; download — скачать файлы из указанного удаленного источника; rename — переименовать файлы в зараженной системе; iamsleep — перевести малварь в спящий режим на заданный период времени; upload — загрузить файлы на C showurls — пока не реализовано. Наконец, аналитики Cisco обнаружили BottomLoader, загрузчик малвари, который получает и выполняет полезную нагрузку с жестко заданного URL с помощью PowerShell, а также закрепляется в системе путем изменения каталога Startup. Кроме того, BottomLoader тоже позволяет передавать файлы из зараженной системы на управляющий сервер, что дает хакерам определенную операционную гибкость. Атаки, обнаруженные экспертами, связаны с использованием критической уязвимости Log4Shell (CVE-2021-44228). Хотя с момента ее обнаружения и исправления прошло больше двух лет, Log4Shell по-прежнему представляет собой серьезную проблему, так как далеко не все устанавливают патчи вовремя. Целью атак Lazarus были публично доступные серверы VMWare Horizon, использующие уязвимую версию библиотеки Log4j, что позволяло злоумышленникам осуществлять удаленное выполнение кода. После компрометации хакеры развертывали в системе прокси-инструмент для постоянного доступа к взломанному серверу, выполняли разведывательные команды, создавали новые учетные записи администраторов и использовали такие инструменты для кражи учетных данных, как ProcDump и MimiKatz. На втором этапе атаки группировка разворачивала в системе NineRAT, как уже было описано выше. Аналитики Cisco полагают, что Lazarus, вероятно, снабжает другие группировки и кластеры, данными, собранными при помощи NineRAT. Это предположение основано на том, что NineRAT в некоторых случаях выполняет «повторный фигнерпринтинг» системы, то есть может выполнять сбор данных для разных группировок.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS
запостил(а)
Edgarpo
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: