북한의 라자루스, VM웨어 호라이즌 서버 공략하기 위해 로그4셸 익스플로잇

북한 해커들, VM웨어 호라이즌 서버 노려...최악의 취약점인 로그4셸 공략 시도

요약 : 보안 블로그 시큐리티어페어즈에 의하면 북한의 해커 단체인 라자루스(Lazarus)가 로그4셸(Log4Shell)이라고 알려진 취약점을 활발히 익스플로잇 하고 있다고 한다. 익스플로잇의 목적은 VM웨어 호라이즌(VMware Horizon) 서버를 공략하는 것으로 분석되고 있다. 보안 업체 안랩에 의하면 라자루스는 4월부터 VM웨어 호라이즌 서버들에 대한 원격 코드 실행 공격 시도를 이어왔다고 한다. 주로 호라이즌 서버의 프로세스인 ws_tomcatservice.exe을 통해 파워셸을 실행시키는 것으로 공격이 시작되며, 이 파워셸을 통하여서는 뉴크스페드(NukeSped)라는 백도어를 심는다고 한다.

[이미지 = utoimage]

배경 : 뉴크스페드 백도어는 2019년 보안 업체 포티넷이 제일 처음 발견해 세상에 알린 바 있다. 당시에도 배후 세력으로 라자루스가 지목됐었다. 키로깅, 스크린샷 캡처, 웹 카메라 접근, USB 드라이브에 접근과 같은 기능을 가지고 있다. 로그4셸은 CVE-2021-44228 취약점의 또 다른 이름이다.

말말말 : “공격자들은 뉴크스페드를 통해 또 다른 정보 탈취형 멀웨어를 심습니다. 이 두 가지 멀웨어 모두 콘솔형으로, 유출시킨 데이터를 파일에 따로 저장하지 않습니다. 공격자들은 원격에서 피해자 컴퓨터의 GUI 스크린을 제어하는 것으로 추정됩니다.” -안랩-
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)