O grupo de ameaças vinculado à Coreia do Norte, conhecido como Lazarus Group, foi identificado em uma nova campanha global que explora vulnerabilidades de segurança no Log4j para implantar RATs (Remote Access Trojans) anteriormente não documentados em hosts comprometidos.

A Cisco Talos está rastreando a atividade sob o nome de Operation Blacksmith, observando o uso de três famílias de malware baseadas em DLang, incluindo um RAT chamado NineRAT que utiliza o Telegram para comando e controle (C2), DLRAT e um downloader chamado BottomLoader.

As cadeias de ataque envolvem a exploração da CVE-2021-44228 (também conhecida como Log4Shell) contra servidores VMWare Horizon acessíveis publicamente para entregar o NineRAT.

Setores proeminentes visados incluem manufatura, agricultura e segurança física. O abuso do Log4Shell não é surpreendente, considerando que 2,8% das aplicações ainda estão usando versões vulneráveis da biblioteca (de 2.0-beta9 a 2.15.0) após dois anos de divulgação pública, de acordo com a Veracode, com outros 3,8% usando o Log4j 2.17.0, que, embora não seja vulnerável à CVE-2021-44228, é suscetível à CVE-2021-44832.

O malware atua como o principal meio de interação com o endpoint infectado, permitindo que os atacantes enviem comandos para coletar informações do sistema, fazer upload de arquivos de interesse, baixar arquivos adicionais e até mesmo desinstalar e atualizar a si mesmo.

“Uma vez ativado, o NineRAT aceita comandos preliminares do canal C2 baseado no Telegram, para novamente identificar os sistemas infectados”, observaram os pesquisadores.

“A reidentificação de sistemas infectados indica que os dados coletados pelo Lazarus por meio do NineRAT podem ser compartilhados por outros grupos APT e essencialmente residem em um repositório diferente dos dados de identificação coletados inicialmente pelo Lazarus durante sua fase de acesso inicial e implantação de implantes.”