Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Уязвимые сервера Microsoft IIS стали инструментом шпионажа хакеров Lazarus Group

25/05/23

Lazarus group-3

Центр реагирования на чрезвычайные ситуации AhnLab Security (ASEC) сообщает, что северокорейская хакерская группировка Lazarus Group нацелена на уязвимые версии серверов Microsoft Internet Information Services (IIS) для развертывания вредоносного ПО в целевых системах.

По данным AhnLab Securit, группа использует метод боковой загрузки DLL (DLL Sideloading) для запуска произвольных полезных нагрузок, передает Securitylab. Хакеры помещают вредоносную DLL (msvcr100.dll) в тот же путь к папке, что и обычное приложение (Wordconv.exe) через процесс веб-сервера Windows IIS, w3wp.exe. Затем злоумышленники запускают обычное приложение, чтобы инициировать выполнение вредоносной DLL.

Вредоносная библиотека «msvcr100.dll» предназначена для расшифровки закодированных полезных данных, которые затем выполняются в памяти. Утверждается, что вредоносное ПО представляет собой вариант, который был обнаружен ASEC в прошлом году и действовал как бэкдор для связи с C2-сервером.

Цепочка атак также повлекла за собой использование плагина Notepad++ с открытым исходным кодом под названием Quick Color Picker, поддержка которого уже прекращена, для доставки дополнительных вредоносных программ, чтобы облегчить кражу учетных данных и боковое перемещение.

Последняя разработка демонстрирует разнообразие атак Lazarus и способность группы использовать обширный набор инструментов для проведения долгосрочных шпионских операций.

Темы:ПреступленияLazarus GroupкибершпионажКНДРAhnlab
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...