• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for NukeSpeed

NukeSpeed

Peretas Lazarus menargetkan server VMware dengan eksploitasi Log4Shell

May 20, 2022 by Eevee

Kelompok peretas Korea Utara yang dikenal sebagai Lazarus mengeksploitasi kerentanan eksekusi kode jarak jauh Log4J untuk menyuntikkan pintu belakang yang mengambil muatan pencuri informasi di server VMware Horizon.

Kerentanan dilacak sebagai CVE-2021-44228, alias Log4Shell, dan berdampak pada banyak produk, termasuk VMware Horizon.

Eksploitasi penyebaran Horizon yang rentan dimulai pada Januari 2022, tetapi banyak admin belum menerapkan pembaruan keamanan yang tersedia.

Menurut laporan yang diterbitkan oleh analis di ASEC Ahnlab, Lazarus telah menargetkan produk VMware yang rentan melalui Log4Shell sejak April 2022.

Untuk memulai serangan, pelaku ancaman mengeksploitasi kerentanan Log4j melalui layanan Apache Tomcat Vmware Horizon untuk menjalankan perintah PowerShell. Perintah PowerShell ini pada akhirnya akan mengarah pada pemasangan pintu belakang NukeSped di server.

Log untuk instalasi NukeSped (ASEC)

NukeSped (atau NukeSpeed) adalah malware backdoor yang pertama kali dikaitkan dengan peretas DPRK pada musim panas 2018 dan kemudian ditautkan ke kampanye 2020 yang diatur oleh Lazarus.

Varian terbaru yang diambil sampelnya dan dianalisis oleh ASEC ditulis dalam C++ dan menggunakan enkripsi RC4 untuk berkomunikasi secara aman dengan infrastruktur C2. Sebelumnya, ini menggunakan XOR.

NukeSped melakukan berbagai operasi spionase di lingkungan yang disusupi, seperti mengambil tangkapan layar, merekam penekanan tombol, mengakses file, dll. Selain itu, NukeSped mendukung perintah baris perintah.

Dua modul baru yang terlihat pada varian NukeSped saat ini adalah satu untuk membuang konten USB dan satu untuk mengakses perangkat kamera web.

Lazarus menggunakan NukeSped untuk menginstal malware pencuri informasi berbasis konsol tambahan, yang mengumpulkan informasi yang disimpan di browser web.

Pencuri info mengambil data dari browser (ASEC)

Lebih khusus lagi, malware yang dianalisis oleh ASEC dapat mencuri data berikut:

  • Kredensial akun dan riwayat penelusuran disimpan di Google Chrome, Mozilla Firefox, Internet Explorer, Opera, dan Naver Whale.
  • Informasi akun email yang disimpan di Outlook Express, MS Office Outlook, dan Windows Live Mail.
  • Nama file yang baru saja digunakan dari MS Office (PowerPoint, Excel, dan Word) dan Hancom 2010.
  • Dalam beberapa serangan, Lazarus terlihat menggunakan Jin Miner alih-alih NukeSped dengan memanfaatkan Log4Shell.
    • Karena Jin Miner adalah penambang cryptocurrency, Lazarus mungkin menggunakannya pada sistem yang kurang kritis yang ditargetkan untuk keuntungan moneter daripada spionase dunia maya.

      Sejak awal tahun, Lazarus terlihat menggunakan LoLBins dalam kampanye penargetan Windows dan aplikasi cryptocurrency berbahaya untuk menyusup ke komputer Windows dan macOS.

      Eksploitasi Log4Shell muncul di atas ini untuk menggarisbawahi berbagai taktik yang digunakan oleh kelompok peretasan dan untuk menggarisbawahi bahwa kelemahan RCE yang kritis tetap menjadi masalah keamanan yang signifikan.

      Pada bulan Maret, sebagian besar upaya eksploitasi dilakukan oleh botnet, sehingga banyak yang berasumsi bahwa penargetan berfokus pada sistem yang kurang diperhatikan dengan baik dan kurang penting.

      Pada bulan April, analis keamanan mengingatkan publik bahwa permukaan serangan Log4Shell tetap besar dan akan bertahan lama karena tantangan praktis.

      Sumber: Bleeping Computer

    Tagged With: eksploitasi, Jin Miner, Lazarus, Log4Shell, LoLBins, NukeSpeed, VMWare

    Copyright © 2025 · Naga Cyber Defense · Sitemap

    Cookies Settings
    We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
    Do not sell my personal information.
    AcceptReject AllCookie Settings
    Manage consent

    Privacy Overview

    This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
    Necessary
    Always Enabled
    Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
    Functional
    Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
    Performance
    Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
    Analytics
    Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
    CookieDurationDescription
    _ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
    _gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
    _gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
    Advertisement
    Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
    Others
    Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
    non-necessary
    SAVE & ACCEPT
    Powered by CookieYes Logo