Le groupe Lazarus, soutenu par la Corée du Nord, a été observé en train d’exploiter la vulnérabilité Log4Shell dans les serveurs VMware Horizon pour déployer le NukeSped (alias Manuscrypt) implant contre des cibles situées dans son homologue sud.
« L’attaquant a utilisé la vulnérabilité Log4j sur les produits VMware Horizon qui n’ont pas été appliqués avec le correctif de sécurité », AhnLab Security Emergency Response Center (ASEC) mentionné dans un nouveau rapport.
Les intrusions auraient été découvertes pour la première fois en avril, bien que plusieurs acteurs de la menace, y compris ceux alignés sur la Chine et l’Iran, aient utilisé la même approche pour atteindre leurs objectifs au cours des derniers mois.
NukeSped est une porte dérobée qui peut effectuer diverses activités malveillantes basées sur des commandes reçues d’un domaine contrôlé par un attaquant distant. L’année dernière, Kaspersky a dévoilé une campagne de harponnage visant à voler des données critiques à des entreprises de défense en utilisant une variante de NukeSped appelée ThreatNeedle.
Certaines des fonctions clés de la porte dérobée vont de la capture de frappes et de la prise de captures d’écran à l’accès à la webcam de l’appareil et à la suppression de charges utiles supplémentaires telles que des voleurs d’informations.
Le malware voleur, un utilitaire basé sur la console, est conçu pour exfiltrer les comptes et les mots de passe enregistrés dans les navigateurs Web tels que Google Chrome, Mozilla Firefox, Internet Explorer, Opera et Naver Whale ainsi que des informations sur les comptes de messagerie et Microsoft Office et Hancom récemment ouverts. des dossiers.
« L’attaquant a collecté des informations supplémentaires en utilisant le malware de porte dérobée NukeSped pour envoyer des commandes en ligne de commande », ont déclaré les chercheurs. « Les informations collectées peuvent être utilisées plus tard dans des attaques de mouvement latéral. »