Home Ciberguerra Ciberdelincuentes norcoreanos explotan VMware Horizon para atacar a Corea del Sur

Ciberdelincuentes norcoreanos explotan VMware Horizon para atacar a Corea del Sur

Se ha observado que el grupo Lazarus, respaldado por Corea del Norte, ha aprovechado la vulnerabilidad Log4Shell en los servidores VMware Horizon para desplegar el implante NukeSped (también conocido como Manuscrypt) contra objetivos situados en su país del sur.

Las intrusiones se descubrieron por primera vez en abril, aunque múltiples actores de amenazas, incluidos los alineados con China e Irán, han empleado el mismo enfoque para promover sus objetivos en los últimos meses.

NukeSped es una puerta trasera que puede llevar a cabo diversas actividades maliciosas en función de los comandos recibidos desde un dominio remoto controlado por el atacante. El año pasado, Kaspersky reveló una campaña de spear-phishing destinada a robar datos críticos de empresas de defensa utilizando una variante de NukeSped llamada ThreatNeedle.

Algunas de las principales funciones del backdoor van desde la captura de pulsaciones de teclas y la realización de capturas de pantalla hasta el acceso a la cámara web del dispositivo y el lanzamiento de cargas útiles adicionales, como ladrones de información.

El malware robador, una utilidad basada en la consola, está diseñado para exfiltrar cuentas y contraseñas guardadas en navegadores web como Google Chrome, Mozilla Firefox, Internet Explorer, Opera y Naver Whale, así como información sobre cuentas de correo electrónico y archivos de Microsoft Office y Hancom abiertos recientemente.