Log4Shell 취약점을 악용하는 Lazarus 그룹 (NukeSped)
Contents
작년 12월 자바 기반의 로깅 유틸리티인 Log4j의 취약점(CVE-2021-44228)이 전 세계적으로 이슈가 되었다. 해당 취약점은 원격지의 자바 객체 주소를 로그 메시지에 포함시켜 Log4j를 사용하는 서버에 전송할 경우 서버에서 자바 객체를 실행할 수 있는 원격 코드 실행 취약점이다.
ASEC 분석팀은 Lazarus 그룹의 국내 타겟 공격을 모니터링하고 있으며, 지난 4월 Lazarus 그룹으로 추정되는 공격 그룹이 해당 취약점을 악용하여 NukeSped 악성코드를 유포한 정황을 포착하였다. 공격자는 보안 패치가 되지 않은 VMware Horizon 제품에 log4j 취약점을 사용하였다. VMware Horizon 제품은 가상화 데스크톱 솔루션으로써 기업에서 원격 근무 솔루션과 클라우드 인프라 운영을 위해 사용하는 제품이다. 특히 최근 Covid-19로 인하여 재택근무 기업이 많아짐에 따라 해당 제품을 사용하는 기업 또한 많아졌을 것으로 추정된다.
NukeSped
다음은 VMware Horizon의 ws_tomcatservice.exe 프로세스에 의해 파워쉘 명령이 실행되어 NukeSped를 설치하는 행위에 대한 자사 ASD(AhnLab Smart Defense) 로그이다.
NukeSped 분석
NukeSped는 C&C 서버에서 공격자의 명령을 전달받아 수행할 수 있는 백도어 악성코드이다. 여기서 다루는 악성코드는 NukeSped 변종 중 하나로서 과거 2020년 경부터 Lazarus 그룹에서 사용하고 있다. 해당 변종에 대해서는 과거 아래의 ASEC …
ASEC 분석팀은 Lazarus 그룹의 국내 타겟 공격을 모니터링하고 있으며, 지난 4월 Lazarus 그룹으로 추정되는 공격 그룹이 해당 취약점을 악용하여 NukeSped 악성코드를 유포한 정황을 포착하였다. 공격자는 보안 패치가 되지 않은 VMware Horizon 제품에 log4j 취약점을 사용하였다. VMware Horizon 제품은 가상화 데스크톱 솔루션으로써 기업에서 원격 근무 솔루션과 클라우드 인프라 운영을 위해 사용하는 제품이다. 특히 최근 Covid-19로 인하여 재택근무 기업이 많아짐에 따라 해당 제품을 사용하는 기업 또한 많아졌을 것으로 추정된다.
NukeSped
다음은 VMware Horizon의 ws_tomcatservice.exe 프로세스에 의해 파워쉘 명령이 실행되어 NukeSped를 설치하는 행위에 대한 자사 ASD(AhnLab Smart Defense) 로그이다.
NukeSped 분석
NukeSped는 C&C 서버에서 공격자의 명령을 전달받아 수행할 수 있는 백도어 악성코드이다. 여기서 다루는 악성코드는 NukeSped 변종 중 하나로서 과거 2020년 경부터 Lazarus 그룹에서 사용하고 있다. 해당 변종에 대해서는 과거 아래의 ASEC …
IoC
11.11.11.1
131fc4375971af391b459de33f81c253
185.29.8.18
1875f6a68f70bee316c8a6eda9ebf8de
47791bf9e017e3001ddc68a7351ca2d6
7a19c59c4373cadb4556f7e30ddd91ac
7ef97450e84211f9f35d45e1e6ae1481
827103a6b6185191fd5618b7e82da292
830bc975a04ab0f62bfedf27f7aca673
84.38.133.145
84.38.133.16
85995257ac07ae5a6b4a86758a2283d7
87a6bda486554ab16c82bdfb12452e8b
8c8a38f5af62986a45f2ab4f44a0b983
c2412d00eb3b4bccae0d98e9be4d92bb
dd4b8a2dc73a29bc7a598148eb8606bb
http://185.29.8.18/htroy.exe
http://185.29.8.18:8888
http://84.38.133.145:443
http://84.38.133.16:8443
http://iosk.org/pms/add.bat
http://iosk.org/pms/jin-6.zip
http://iosk.org/pms/jin.zip
http://iosk.org/pms/mad.bat
http://mail.usengineergroup.com:8443
131fc4375971af391b459de33f81c253
185.29.8.18
1875f6a68f70bee316c8a6eda9ebf8de
47791bf9e017e3001ddc68a7351ca2d6
7a19c59c4373cadb4556f7e30ddd91ac
7ef97450e84211f9f35d45e1e6ae1481
827103a6b6185191fd5618b7e82da292
830bc975a04ab0f62bfedf27f7aca673
84.38.133.145
84.38.133.16
85995257ac07ae5a6b4a86758a2283d7
87a6bda486554ab16c82bdfb12452e8b
8c8a38f5af62986a45f2ab4f44a0b983
c2412d00eb3b4bccae0d98e9be4d92bb
dd4b8a2dc73a29bc7a598148eb8606bb
http://185.29.8.18/htroy.exe
http://185.29.8.18:8888
http://84.38.133.145:443
http://84.38.133.16:8443
http://iosk.org/pms/add.bat
http://iosk.org/pms/jin-6.zip
http://iosk.org/pms/jin.zip
http://iosk.org/pms/mad.bat
http://mail.usengineergroup.com:8443