APT 组织 Lazarus 被发现利用 Log4j 漏洞部署以前未记录的远程访问木马。

APT 组织 Lazarus 是一场新的黑客活动的幕后黑手，该活动利用 Log4j 漏洞部署以前未记录的远程访问木马 (RAT)。思科 Talos 研究人员将该活动追踪为“铁匠行动”，行为者至少使用了三个 基于DLang的新恶意软件系列。其中两种恶意软件是远程访问木马 (RAT)，分别被追踪为 NineRAT 和“DLRAT”。前者依赖 Telegram 机器人和 C2 通信渠道。

Talos 认为 NineRAT 于 2022 年 5 月左右建成，但首次被发现是在 2023 年 3 月，当时是铁匠行动的一部分。

三月，威胁行为者袭击了南美的一个农业组织。专家们在 2023 年 9 月左右观察到 NineRAT 针对一家欧洲制造实体的使用情况。

铁匠行动涉及CVE-2021-44228（也称为 Log4Shell）的利用 。

Talos 研究人员报告称，与Microsoft 于 2023 年 10 月披露的与 APT 组织Onyx Sleet（又名 PLUTIONIUM 或Andariel ）相关的恶意活动有一些重叠 。

卡巴斯基研究人员6 月报告称， 去年，APT 组织 Andariel在利用 Log4j Log4Shell 漏洞的攻击中使用了一种名为 EarlyRat 的先前未记录的恶意软件。

“Talos 观察到的这一特殊攻击涉及在面向公众的 VMWare Horizon 服务器上成功利用 CVE-2021-44228（也称为 Log4Shell），作为初始访问易受攻击的面向公众的服务器的一种手段。” 阅读 Talos 发表的分析。“在初步访问之后进行初步侦察，从而在受感染的系统上部署定制的植入程序。”

Andariel APT（又名 Stonefly）至少自 2015 年起就一直活跃，它参与了多起攻击。

Lazarus APT 是一个子组织的保护伞，每个子组织在国防、政治、国家安全和研发方面都有特定的目标。研究人员报告称，每个小组都开展独立的活动，在没有充分协调的情况下针对特定目标部署定制的恶意软件。例如，Andariel 负责处理网络攻击活动的初始访问、侦察和建立长期访问。此外，Andariel 在某些情况下还参与了针对医疗机构的勒索软件攻击。

威胁行为者还在 Blacksmith 行动中使用了Microsoft 首次详细介绍的自定义代理工具HazyLoad 。

HazyLoad 是通过第三种 DLang 恶意软件（称为 BottomLoader）传播的。

塔洛斯在铁匠行动中观察到的攻击链如下：

• Lazarus 初步侦察：APT 组织通过成功利用 CVE-2021-44228 获得初步访问权限；
• Lazarus 部署 NineRAT；

“NineRAT 是用 DLang 编写的，表明 Lazarus 旗下的 APT 组织的 TTP 发生了明确的转变，越来越多地采用使用 Qt 框架等非传统框架（包括 MagicRAT 和 QuiteRAT  ） 编写的恶意软件。” 报告得出结论，其中包括妥协指标 (IoC)。“一旦 NineRAT 被激活，它就会接受来自基于 Telegram 的 C2 通道的初步命令，以再次对受感染的系统进行指纹识别。对受感染系统重新进行指纹识别表明，Lazarus 通过 NineRAT 收集的数据可能会被其他 APT 组织共享，并且本质上与 Lazarus 在初始访问和植入部署阶段最初收集的指纹数据驻留在不同的存储库中。”