Lazarus Group 利用 Log4j 漏洞部署远程访问木马

与朝鲜相关的臭名昭著的威胁组织 Lazarus Group 被归咎于一场新的全球活动，该活动涉及机会主义地利用 Log4j 中的安全缺陷，在受感染的主机上部署以前未记录的远程访问木马 (RAT)。

Cisco Talos注意到Lazarus Group 的 Operation Blacksmith 活动， 用了三个基于 DLang 的恶意软件系列，其中包括一种名为 NineRAT 的 RAT（利用 Telegram 进行命令和控制 (C2)）、DLRAT 和一个名为 BottomLoader 的下载程序。

根据 Veracode 的数据，在公开披露两年后，2.8% 的应用程序仍在使用该库的易受攻击版本（从 2.0-beta9 到 2.15.0），另外 3.8% 的应用程序使用 Log4j，因此 Log4Shell 的滥用并不令人意外。 2.17.0 虽然不易受到 CVE-2021-44228 的影响，但容易受到 CVE-2021-44832 的影响。

NineRAT 于 2022 年 5 月左右首次开发，据说早在 2023 年 3 月就已投入使用，用于针对南美农业组织的攻击，然后于 2023 年 9 月再次针对欧洲制造实体进行攻击。 通过使用 Telegram 等合法消息服务进行 C2 通信，目标是逃避检测。

该恶意软件是与受感染端点交互的主要手段，使攻击者能够发送命令来收集系统信息、上传感兴趣的文件、下载其他文件，甚至卸载和升级自身。

研究人员指出：“一旦 NineRAT 被激活，它就会接受来自基于电报的 C2 通道的初步命令，以再次对受感染的系统进行指纹识别。”

此外，据观察 Operation Blacksmith 提供了DLRAT，它既是一个下载程序，也是一个 RAT，用于执行系统侦察、部署其他恶意软件、从 C2 检索命令并在受感染的系统中执行这些命令。

Cisco Talos 告诉《黑客新闻》，“DLRAT 是 Lazarus 趋势的另一次迭代，它始于 MagicRAT ，使用奇异/不常见的语言和框架，以及模块化恶意软件以避免检测。”

研究人员表示：“一旦发现某个工具，提供重叠后门入口的多个工具就会给 Lazarus Group 带来冗余，从而实现高度持久的访问。”