Lazarus-Hacker nutzen Log4Shell-Schwachstelle

Laut den Cisco Talos Sicherheitsanalysten nutzen Lazarus-Hacker Schwachstellen in Log4J – einer Open-Source-Komponente zur Anwendungsprotokollierung – in nicht gepatchten VMware Horizon-Servern mit Internetanschluss aus, um sich einen ersten Zugang zu Energieversorgern in den USA, Kanada und Japan zu verschaffen. Die von Nordkorea unterstützten Angreifer setzen maßgeschneiderte Malware für langfristige Spionage ein.

Lazarus, auch bekannt als Hidden Cobra und APT38, ist dafür bekannt, Hunderte von Millionen an Kryptowährungen von Kryptounternehmen zu stehlen. Das US-Finanzministerium sanktionierte Lazarus im Jahr 2019 für Krypto- und Bankensystemdiebstähle, die angeblich dazu beitrugen, Einnahmen zur Finanzierung von Nordkoreas Atomwaffen- und ballistischen Raketenprogrammen zu erzielen.

Unternehmen hätten diese Schwachstelle schon vor Monaten patchen müssen. Die Cybersecurity and Infrastructure Security Agency (CISA) warnte Organisationen im September, die Log4Shell-Schwachstellen von VMware Horizon zu patchen, etwa neun Monate nachdem VMware seine Log4Shell-Patches für Horizon-Server veröffentlicht hatte.

Hacker des iranischen Ministeriums für Intelligenz und Sicherheit (MOIS), die als MuddyWater bekannt sind, haben in letzter Zeit ebenfalls Log4Shell verwendet, um Organisationen in Israel zu kompromittieren, allerdings über ungepatchte Serversoftware eines israelischen Anbieters, die Log4J enthält, so Microsoft.

Nachdem sich Lazarus-Akteure über ungepatchte VMware Horizon-Server Zugang verschafft haben, setzen sie benutzerdefinierte Malware-Implantate mit den Namen VSingle, YamaBot und ein drittes, bisher unbekanntes Implantat ein, das Cisco „MagicRAT“ nennt. Cisco veröffentlichte Details, um mehr über den Modus Operandi der Gruppe zu enthüllen. Es glaubt, dass die Gruppe darauf abzielt, sich langfristig Zugang zu verschaffen, um wertvolle Informationen zu sammeln.

„Cisco Talos identifizierte die Ausnutzung der Log4Shell-Schwachstelle auf VMWare Horizon-Servern mit öffentlichem Zugang als ursprünglichen Angriffsvektor. Auf die Kompromittierung folgt eine Reihe von Aktivitäten, um auf den Systemen Fuß zu fassen, bevor die Angreifer zusätzliche Malware einsetzen und sich seitlich über das Netzwerk bewegen“, so Cisco in einem Blog-Post.

Nach der Kompromittierung eines VMware Horizon-Servers in einer Windows-Umgebung würde die Gruppe VSingle einsetzen, eine Reverse-Shell einrichten, um beliebige Befehle zu erteilen, und den Virenschutz von Microsoft Defender deaktivieren. Microsoft empfiehlt Unternehmen generell, einen Manipulationsschutz zu aktivieren.

Die Gruppe führt auch Erkundungen über Windows Active Directory durch, sammelt verschlüsselte Anmeldedaten und Informationen über die logischen Laufwerke der infizierten Systeme. In dieser Phase überprüfen die Angreifer auch, ob der RDP-Port (Remote Desktop Protocol) offen ist.

„Während der Erkundungsphase prüfen die Angreifer insbesondere, ob der RDP-Port offen ist. Wenn dies der Fall ist und die Angreifer die erbeuteten Anmeldeinformationen entschlüsseln, haben sie direkten Zugriff auf das System, ohne eine weitere Backdoor installieren zu müssen“, so Cisco.

Nach der Aktivierung von Backdoors und Implantaten auf infizierten Systemen verwischt die Gruppe ihre Spuren, indem sie Dateien im Infektionsordner löscht, alle aktiven Powershell-Aufgaben beendet, alle von ihr erstellten Konten entfernt und anschließend das Windows-Ereignisprotokoll löscht.

Das neu entdeckte Fernzugriffs-Tool (Remote Access Tool, RAT) MagicRAT ist nach Ansicht von Cisco recht einfach, da es eine Verbindung zum Command-and-Control-Server (C2) der Angreifer herstellt, ihnen eine Remote-Shell zur Ausführung beliebiger Befehle zur Verfügung stellt und ihnen das Umbenennen, Verschieben und Löschen von Dateien auf einem Gerät ermöglicht. Außerdem bietet es einen Port-Scanner.

Ein zweites bekanntes Fernzugriffs-Tool, TigerRAT, das sich mit demselben C2-Server verbindet, ermöglicht es den Angreifern, Systeme aufzuzählen und beliebige Befehle auszuführen, einschließlich Bildschirmaufnahmen, Schlüsselprotokollierung, Dateiverwaltung und Selbst-Deinstallation von Systemen.