Dalam kampanye siber terbaru yang dikaitkan dengan kelompok Lazarus, yang dinamakan “Operation Blacksmith” , pelaku memberikan ancaman mengeksploitasi kerentanan dalam library Log4j untuk menyebarkan trojan akses jarak jauh (RAT) baru, termasuk NineRAT, DLRAT, dan sebuah downloader bernama BottomLoader. Serangan melibatkan penargetan server VMWare Horizon yang dapat diakses secara publik dengan menggunakan kerentanan Log4Shell (CVE-2021-44228). Kelompok Lazarus, terutama subkelompoknya Andariel, dikenal karena akses awal, rekognisi, dan membentuk akses mata-mata jangka panjang. NineRAT, beroperasi sejak Maret 2023, menggunakan Telegram untuk kendali perintah agar dapat menghindari deteksi. Malware ini memungkinkan pelaku untuk mengumpulkan informasi sistem, mengunggah/mengunduh file, dan melakukan penghapusan/pembaruan otomatis. Penggunaan kembali Log4Shell oleh Andariel mengikuti taktik sebelumnya. Selain itu, alat proxy kustom bernama HazyLoad dan DLRAT, yang berfungsi sebagai downloader dan RAT, digunakan, memberikan redundansi untuk akses yang persisten. Kelompok Kimsuky, yang terkait dengan Lazarus, secara terpisah diidentifikasi karena menyebarkan malware, termasuk keyloggers, untuk mengekstrak informasi setelah mengkompromikan sistem. Aktivitas ini menyoroti ancaman berkelanjutan dari Lazarus dan afiliasinya, menekankan perlunya tindakan keamanan siber yang kuat.
Sumber: https://thehackernews.com/2023/12/lazarus-group-using-log4j-exploits-to.html
Grup Lazarus Menggunakan Eksploitasi Log4j untuk Menyebarkan Trojan Akses Jarak Jauh
