Tin tặc khai thác VMware Horizon để nhắm mục tiêu đến Hàn Quốc bằng NukeSped Backdoor

Tập đoàn Lazarus do Triều Tiên hậu thuẫn đã bị phát hiện sử dụng lỗ hổng Log4Shell trong các máy chủ của VMware Horizon để triển khai bộ cấy NukeSped (hay còn gọi là Manuscrypt) chống lại các mục tiêu nằm ở đối tác phía nam của họ.

“Kẻ tấn công đã sử dụng lỗ hổng Log4j trên các sản phẩm VMware Horizon không được áp dụng bản vá bảo mật”, Trung tâm Ứng cứu Khẩn cấp Bảo mật AhnLab (ASEC) cho biết trong một báo cáo mới.

Các cuộc xâm nhập được cho là lần đầu tiên được phát hiện vào tháng 4, mặc dù nhiều bên đe dọa, bao gồm cả những kẻ liên kết với Trung Quốc và Iran, đã sử dụng cùng một cách tiếp cận để xa hơn các mục tiêu của họ trong vài tháng qua.

NukeSped là một cửa hậu có thể thực hiện các hoạt động độc hại khác nhau dựa trên các lệnh nhận được từ miền do kẻ tấn công điều khiển từ xa. Năm ngoái, Kaspersky đã tiết lộ một chiến dịch lừa đảo trực tuyến nhằm đánh cắp dữ liệu quan trọng từ các công ty quốc phòng bằng cách sử dụng một biến thể NukeSped có tên là ThreatNeedle.

Một số chức năng chính của backdoor bao gồm việc ghi lại các tổ hợp phím và chụp ảnh màn hình để truy cập vào webcam của thiết bị và loại bỏ các tải bổ sung chẳng hạn như trình đánh cắp thông tin.

Xem tiếp:   Các chuyên gia khám phá các cuộc tấn công phần mềm gián điệp chống lại các chính trị gia và nhà hoạt động Catalan

đánh cắp, một tiện ích dựa trên bảng điều khiển, được thiết kế để lấy cắp các tài khoản và mật khẩu được lưu trong các trình duyệt web như Google Chrome, Mozilla Firefox, Internet Explorer, Opera và Naver Whale cũng như thông tin về các tài khoản email và Office và Hancom đã mở gần đây các tập tin.

Các nhà nghiên cứu cho biết: “Kẻ tấn công đã thu thập thông tin bổ sung bằng cách sử dụng phần mềm độc hại backdoor NukeSped để gửi các lệnh dòng lệnh. “Thông tin thu thập được có thể được sử dụng sau này trong các cuộc tấn công chuyển động ngang.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …