Die von Nordkorea unterstützte Lazarus Group wurde dabei beobachtet, wie sie die Log4Shell-Schwachstelle in VMware Horizon-Servern ausnutzte, um das NukeSped-Implantat (auch bekannt als Manuscrypt) gegen Ziele in ihrem südlichen Gegenstück einzusetzen.
„Der Angreifer nutzte die Log4j-Schwachstelle in VMware Horizon-Produkten, die nicht mit dem Sicherheitspatch versehen waren“, so das AhnLab Security Emergency Response Center (ASEC) in einem neuen Bericht.
Die Angriffe wurden angeblich erstmals im April entdeckt, obwohl mehrere Bedrohungsakteure, darunter auch solche, die mit China und dem Iran verbündet sind, in den letzten Monaten den gleichen Ansatz zur Erreichung ihrer Ziele verwendet haben.
NukeSped ist eine Backdoor, die auf der Grundlage von Befehlen, die sie von einer von einem Angreifer kontrollierten Domain erhält, verschiedene bösartige Aktivitäten ausführen kann. Letztes Jahr hat Kaspersky eine Spear-Phishing-Kampagne aufgedeckt, die darauf abzielte, kritische Daten von Verteidigungsunternehmen zu stehlen, indem eine NukeSped-Variante namens ThreatNeedle verwendet wurde.
Einige der wichtigsten Funktionen der Backdoor reichen vom Aufzeichnen von Tastatureingaben und Screenshots bis hin zum Zugriff auf die Webcam des Geräts und dem Ablegen zusätzlicher Nutzdaten wie Informationsdiebstahl.
Die Stealer-Malware, ein konsolenbasiertes Dienstprogramm, wurde entwickelt, um Konten und Passwörter, die in Webbrowsern wie Google Chrome, Mozilla Firefox, Internet Explorer, Opera und Naver Whale gespeichert sind, sowie Informationen über E-Mail-Konten und kürzlich geöffnete Microsoft Office- und Hancom-Dateien auszuspionieren.
„Der Angreifer sammelte zusätzliche Informationen, indem er die Backdoor-Malware NukeSped zum Senden von Kommandozeilenbefehlen verwendete“, so die Forscher. „Die gesammelten Informationen können später für Lateral Movement Angriffe genutzt werden.