Grupo Lazarus da Coreia do Norte mira servidores Microsoft IIS para implantar malware de espionagem
24 de Maio de 2023

O infame grupo Lazarus tem como alvo versões vulneráveis dos servidores Microsoft Internet Information Services (IIS) como rota inicial de invasão para implantar malware em sistemas específicos.

As descobertas vêm do Centro de Resposta de Emergência de Segurança da AhnLab (ASEC), que detalhou o uso contínuo de técnicas avançadas de ameaças persistentes (APT) de DLL side-loading para executar payloads arbitrários.

O grupo Lazarus, altamente capaz e implacável, ligado à Coreia do Norte, foi visto mais recentemente aproveitando a mesma técnica em conexão com o ataque em cascata à cadeia de suprimentos ao provedor de serviços de comunicação empresarial 3CX.

A biblioteca DLL maliciosa msvcr100.dll, por sua vez, é projetada para descriptografar um payload codificado que é então executado na memória.

O malware é dito ser uma variante de um artefato semelhante descoberto pela ASEC no ano passado e que atuou como uma porta dos fundos para se comunicar com um servidor controlado pelo ator.

A cadeia de ataque envolveu ainda a exploração de um plugin descontinuado de código aberto Notepad++ chamado Quick Color Picker para entregar malware adicional a fim de facilitar o roubo de credenciais e o movimento lateral.

A última evolução demonstra a diversidade dos ataques do Lazarus e sua capacidade de empregar um conjunto extenso de ferramentas contra as vítimas para realizar operações de espionagem de longo prazo.

"Em particular, uma vez que o grupo de ameaças utiliza principalmente a técnica de DLL side-loading durante suas infiltrações iniciais, as empresas devem monitorar proativamente os relacionamentos anormais de execução de processos e tomar medidas preventivas para impedir que o grupo de ameaças realize atividades como exfiltração de informações e movimento lateral", disse a ASEC.

As descobertas também ocorrem enquanto o Departamento do Tesouro dos EUA sancionou quatro entidades e um indivíduo envolvidos em atividades cibernéticas maliciosas e esquemas de arrecadação de fundos que visam apoiar as prioridades estratégicas da Coreia do Norte.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...