Home > 전체기사

북한의 라자루스, VM웨어 호라이즌 서버 공략하기 위해 로그4셸 익스플로잇

  |  입력 : 2022-05-23 11:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
북한 해커들, VM웨어 호라이즌 서버 노려...최악의 취약점인 로그4셸 공략 시도

요약 : 보안 블로그 시큐리티어페어즈에 의하면 북한의 해커 단체인 라자루스(Lazarus)가 로그4셸(Log4Shell)이라고 알려진 취약점을 활발히 익스플로잇 하고 있다고 한다. 익스플로잇의 목적은 VM웨어 호라이즌(VMware Horizon) 서버를 공략하는 것으로 분석되고 있다. 보안 업체 안랩에 의하면 라자루스는 4월부터 VM웨어 호라이즌 서버들에 대한 원격 코드 실행 공격 시도를 이어왔다고 한다. 주로 호라이즌 서버의 프로세스인 ws_tomcatservice.exe을 통해 파워셸을 실행시키는 것으로 공격이 시작되며, 이 파워셸을 통하여서는 뉴크스페드(NukeSped)라는 백도어를 심는다고 한다. 

[이미지 = utoimage]


배경 : 뉴크스페드 백도어는 2019년 보안 업체 포티넷이 제일 처음 발견해 세상에 알린 바 있다. 당시에도 배후 세력으로 라자루스가 지목됐었다. 키로깅, 스크린샷 캡처, 웹 카메라 접근, USB 드라이브에 접근과 같은 기능을 가지고 있다. 로그4셸은 CVE-2021-44228 취약점의 또 다른 이름이다.

말말말 : “공격자들은 뉴크스페드를 통해 또 다른 정보 탈취형 멀웨어를 심습니다. 이 두 가지 멀웨어 모두 콘솔형으로, 유출시킨 데이터를 파일에 따로 저장하지 않습니다. 공격자들은 원격에서 피해자 컴퓨터의 GUI 스크린을 제어하는 것으로 추정됩니다.” -안랩-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)