Η κρατικά υποστηριζόμενη από τη Βόρεια Κορέα ομάδα χάκερ Lazarus εισβάλλει σε web servers της υπηρεσίας Internet Information Service (IIS) των Windows για να τους καταλάβει για τη διανομή κακόβουλου λογισμικού.
Δείτε επίσης: Οι Lazarus hackers πίσω από το hack στη JumpCloud;
Το IIS είναι η λύση web server της Microsoft που χρησιμοποιείται για τη φιλοξενία ιστότοπων ή υπηρεσιών εφαρμογών, όπως το Outlook on the Web του Microsoft Exchange.
Οι Νοτιοκορεάτες αναλυτές ασφαλείας της ASEC ανέφεραν προηγουμένως ότι οι Lazarus στόχευαν servers IIS για να αποκτήσουν αρχική πρόσβαση σε εταιρικά δίκτυα. Σήμερα, η εταιρεία κυβερνοασφάλειας αναφέρει ότι οι χάκερς αξιοποιούν επίσης τις ανεπαρκώς προστατευμένες υπηρεσίες IIS για τη διανομή κακόβουλου λογισμικού.
Λογισμικό ακουστικών βαρηκοΐας εγκρίθηκε για τα AirPods Pro
OpenAI o1: Νέο AI μοντέλο "σκέφτεται" σαν άνθρωπος
Καταγγελία εναντίον γνωστών gaming εταιρειών
Το κύριο πλεονέκτημα αυτής της τεχνικής είναι η ευκολία μόλυνσης των επισκεπτών των ιστότοπων ή των χρηστών των υπηρεσιών που φιλοξενούνται σε παραβιασμένους servers IIS που ανήκουν σε αξιόπιστους οργανισμούς.
Επιθέσεις στη Νότια Κορέα
Η Lazarus, παραβίασε νόμιμους ιστότοπους της Νότιας Κορέας για να εκτελέσει επιθέσεις “Watering Hole” στους επισκέπτες χρησιμοποιώντας μια ευάλωτη έκδοση του λογισμικού INISAFE CrossWeb EX V6. Αυτό το λογισμικό χρησιμοποιείται από πολλούς οργανισμούς στη Νότια Κορέα για ηλεκτρονικές οικονομικές συναλλαγές, πιστοποίηση ασφάλειας, τραπεζικές συναλλαγές μέσω διαδικτύου κ.λπ. Η ευπάθεια είχε καταγραφεί προηγουμένως από τη Symantec και την ASEC το 2022. Η επίθεση ξεκινά όταν λαμβάνεται ένα κακόβουλο αρχείο HTM και εισάγεται στο INISAFE Web EX Client. Η εκμετάλλευση του ελαττώματος φέρνει ένα κακόβουλο φορτίο ‘SCSKAppLink.dll’ από έναν IIS web server που έχει ήδη παραβιαστεί πριν από την επίθεση και χρησιμοποιείται ως server διανομής κακόβουλου λογισμικού.
Η ASEC δεν ανέλυσε το συγκεκριμένο φορτίο, αλλά λέει ότι είναι πιθανότατα ένα πρόγραμμα λήψης κακόβουλου λογισμικού που έχει παρατηρηθεί σε άλλες πρόσφατες εκστρατείες της Lazarus.
Στη συνέχεια, η Lazarus χρησιμοποιεί το κακόβουλο λογισμικό κλιμάκωσης προνομίων “JuicyPotato” (“usopriv.exe”) για να αποκτήσει πρόσβαση υψηλότερου επιπέδου στο σύστημα που έχει παραβιαστεί.
Πρόταση: Lazarus hackers: Σύνδεση με επίθεση σε 3CX και στόχευση χρηστών Linux με fake προσφορές εργασίας
Το JuicyPotato χρησιμοποιείται για την εκτέλεση ενός δεύτερου μεταφορέα κακόβουλου λογισμικού (‘usoshared.dat’) που αποκρυπτογραφεί τα αρχεία δεδομένων που έχουν ληφθεί και τα εκτελεί στη μνήμη για την παράκαμψη του AV.
Η ASEC συνιστά στους χρήστες του NISAFE CrossWeb EX V6 να ενημερώσουν το λογισμικό στην τελευταία του έκδοση, καθώς η εκμετάλλευση των γνωστών ευπαθειών του προϊόντος από τη Lazarus βρίσκεται σε εξέλιξη τουλάχιστον από τον Απρίλιο του 2022. Η εταιρεία ασφαλείας συμβουλεύει τους χρήστες να αναβαθμίσουν στην έκδοση 3.3.2.41 ή νεότερη και παραπέμπει σε οδηγίες αποκατάστασης που δημοσίευσε πριν από τέσσερις μήνες, επισημαίνοντας την απειλή Lazarus.
Οι servers εφαρμογών της Microsoft γίνονται ένας δημοφιλής στόχος για τους hackers που χρησιμοποιούν στη διανομή κακόβουλου λογισμικού, πιθανότατα λόγω της αξιόπιστης φύσης τους.
Διαβάστε επίσης: GitHub: Οι Lazarus hackers στοχεύουν devs με κακόβουλα projects
πηγή πληροφοριών:bleepingcomputer.com