Os hackers notórios apoiados pelo estado norte-coreano, conhecidos como Grupo Lazarus, estão agora direcionando servidores web vulneráveis do Windows Internet Information Services (IIS) para obter acesso inicial às redes corporativas.
Lazarus é principalmente motivado financeiramente, com muitos analistas acreditando que as atividades maliciosas dos hackers ajudam a financiar os programas de desenvolvimento de armas da Coreia do Norte.
No entanto, o grupo também esteve envolvido em várias operações de espionagem.
A última tática de direcionar servidores Windows IIS foi descoberta por pesquisadores sul-coreanos no Centro de Resposta de Emergência de Segurança da AhnLab.
Servidores web do Windows Internet Information Services (IIS) são usados por organizações de todos os tamanhos para hospedar conteúdo da web como sites, aplicativos e serviços, como o Outlook na Web do Microsoft Exchange.
É uma solução flexível que está disponível desde o lançamento do Windows NT, suportando os protocolos HTTP, HTTPS, FTP, FTPS, SMTP e NNTP.
No entanto, se os servidores forem mal gerenciados ou desatualizados, eles podem atuar como pontos de entrada de rede para hackers.
Anteriormente, a Symantec informou sobre hackers implantando malware no IIS para executar comandos nos sistemas invadidos por meio de solicitações da web, evitando a detecção de ferramentas de segurança.
Um relatório separado revelou que um grupo de hackers chamado 'Cranfly' estava empregando uma técnica desconhecida de controle de malware usando logs do servidor web IIS.
Lazarus primeiro ganha acesso aos servidores IIS usando vulnerabilidades conhecidas ou configurações incorretas que permitem que os atores da ameaça criem arquivos no servidor IIS usando o processo w3wp.exe.
Os hackers deixam 'Wordconv.exe', um arquivo legítimo que faz parte do Microsoft Office, uma DLL maliciosa ('msvcr100.dll') na mesma pasta e um arquivo codificado chamado 'msvcr100.dat'.
Ao lançar 'Wordconv.exe', o código malicioso na DLL é carregado para descriptografar o executável codificado em Salsa20 de msvcr100.dat e executá-lo na memória onde as ferramentas antivírus não podem detectá-lo.
A AhnLab encontrou várias semelhanças de código entre 'msvcr100.dll' e outro malware que observou no ano passado, 'cylvc.dll', que foi usado pelo Lazarus para desativar programas anti-malware usando a técnica "traga seu próprio driver vulnerável".
Portanto, a AhnLab considera o arquivo DLL recém-descoberto uma nova variante do mesmo malware.
Na segunda fase do ataque, o Lazarus cria um segundo malware ('diagn.dll') explorando um plugin Notepad++.
Esse segundo malware recebe um novo payload codificado com o algoritmo RC6 desta vez, descriptografa-o usando uma chave codificada e o executa na memória para evasão.
A AhnLab não conseguiu determinar o que esse payload fez no sistema invadido, mas viu sinais de LSASS dumping apontando para atividade de roubo de credenciais.
O último passo do ataque do Lazarus foi realizar reconhecimento de rede e movimento lateral por meio da porta 3389 (Remote Desktop) usando credenciais de usuário válidas, presumivelmente roubadas na etapa anterior.
No entanto, a AhnLab não descobriu mais atividades maliciosas depois que os invasores se espalharam lateralmente na rede.
Como o Lazarus está dependendo muito de side-loading DLL como parte de seus ataques, a AhnLab recomenda que as organizações monitorem a execução anormal de processos.
"Em particular, como o grupo de ameaças utiliza principalmente a técnica de DLL side-loading durante suas infiltrações iniciais, as empresas devem monitorar proativamente as relações de execução de processos anormais e tomar medidas preventivas para impedir que o grupo de ameaças execute atividades como exfiltração de informações e movimento lateral", conclui o relatório da AhnLab.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...