O grupo de hackers patrocinado pelo estado da Coreia do Norte, Lazarus, está violando servidores web do Windows Internet Information Service (IIS) para sequestrá-los para distribuição de malware.
O IIS é a solução de servidor web da Microsoft usada para hospedar sites ou serviços de aplicativos, como o Outlook na Web do Microsoft Exchange.
Analistas de segurança sul-coreanos da ASEC relataram anteriormente que o Lazarus estava visando servidores IIS para acesso inicial às redes corporativas.
Hoje, a empresa de segurança cibernética diz que o grupo de ameaças se aproveita de serviços IIS mal protegidos para a distribuição de malware também.
A principal vantagem desta técnica é a facilidade de infectar visitantes de sites ou usuários de serviços hospedados em servidores IIS violados pertencentes a organizações confiáveis.
Nos ataques recentes observados pelos analistas da ASEC, o Lazarus comprometeu sites sul-coreanos legítimos para realizar ataques 'Watering Hole' em visitantes que usam uma versão vulnerável do software INISAFE CrossWeb EX V6.
Muitas organizações públicas e privadas na Coreia do Sul usam este software específico para transações financeiras eletrônicas, certificação de segurança, internet banking, etc.
A vulnerabilidade do INISAFE foi documentada anteriormente pela Symantec e ASEC em 2022, explicando que era explorada usando anexos de e-mail HTML na época.
"Um ataque típico começa quando um arquivo HTM malicioso é recebido, provavelmente como um link malicioso em um e-mail ou baixado da web.
O arquivo HTM é copiado para um arquivo DLL chamado scskapplink.dll e injetado no legítimo software de gerenciamento de sistema INISAFE Web EX Client", explica o relatório de 2022 da Symantec.
A exploração da falha busca um payload malicioso 'SCSKAppLink.dll' de um servidor web IIS já comprometido antes do ataque para uso como um servidor de distribuição de malware.
"A URL de download para 'SCSKAppLink.dll' foi identificada como sendo o servidor web IIS mencionado anteriormente", explica o novo relatório da ASEC.
"Isso significa que o ator da ameaça atacou e ganhou controle sobre os servidores web IIS antes de usá-los como servidores para distribuir malware."
A ASEC não analisou o payload em particular, mas diz que provavelmente é um downloader de malware visto em outras campanhas recentes do Lazarus.
A seguir, o Lazarus usa o malware de escalonamento de privilégios 'JuicyPotato' ('usopriv.exe') para obter acesso de nível superior ao sistema comprometido.
JuicyPotato é usado para executar um segundo carregador de malware ('usoshared.dat') que descriptografa arquivos de dados baixados e os executa na memória para evasão AV.
A ASEC recomenda que os usuários do NISAFE CrossWeb EX V6 atualizem o software para a versão mais recente, já que a exploração do Lazarus de vulnerabilidades conhecidas no produto está em andamento desde pelo menos abril de 2022.
A empresa de segurança aconselha os usuários a atualizarem para a versão 3.3.2.41 ou posterior e aponta para as instruções de remediação que postou quatro meses atrás, destacando a ameaça do Lazarus.
Os servidores de aplicativos da Microsoft estão se tornando um alvo popular para hackers usarem na distribuição de malware, provavelmente devido à sua natureza confiável.
Na semana passada, o CERT-UA e a Microsoft relataram que hackers russos da Turla estavam usando servidores Microsoft Exchange comprometidos para entregar backdoors a seus alvos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...