26/07/23
Специалисты компании ASEC AhnLab сообщают, что северокорейская группировка Lazarus взламывает веб-серверы Microsoft IIS (Internet Information Service, IIS), чтобы использовать их для распространения вредоносного ПО.
IIS (Internet Information Service) — это решение Microsoft для веб-серверов, используемое для размещения веб-сайтов или служб приложений, таких как Microsoft Exchange Outlook в Интернете, пишет Securitylab.
В обнаруженных атаках хакеры Lazarus скомпрометировали легитимные южнокорейские сайты, чтобы выполнить атаки типа «водопой» (Watering hole) на посетителей с использованием уязвимой версии программного обеспечения INISAFE CrossWeb EX V6.
Атака Watering hole заключается в том, что хакеры компрометируют сайт, который часто посещают целевые жертвы. После взлома злоумышленники внедряют в сайт вредоносный код, который активируется при посещении сайта пользователями. Таким образом в 2023 году несколько израильских сайтов в сфере логистики и доставки были взломаны с целью сбора информации об их пользователях.
Многие государственные и частные организации в Южной Корее используют INISAFE CrossWeb EX V6 для финансовых транзакций, сертификации безопасности, интернет-банкинга и т.д.
Атака начинается с получения вредоносного HTM-файла через ссылку в электронном письме или путём загрузки файла из Интернета. Затем HTM-файл копируется в DLL-файл и внедряется в ПО для управления системой INISAFE Web EX Client.
Эксплуатация уязвимости позволяет получить вредоносную полезную нагрузку с сервера IIS, уже скомпрометированного перед атакой, для использования в качестве сервера для распространения вредоносных программ. Специалисты ASEC не анализировали конкретную полезную нагрузку, но утверждают, что это может быть загрузчик вредоносного ПО, замеченный в других кампаниях Lazarus.
Затем Lazarus использует вредоносное ПО для повышения привилегий JuicyPotato, чтобы получить доступ более высокого уровня к скомпрометированной системе. JuicyPotato используется для запуска второго загрузчика вредоносных программ, который расшифровывает загруженные файлы и выполняет их в памяти для обхода антивируса.
ASEC рекомендует пользователям INISAFE CrossWeb EX обновить ПО до последней версии (3.3.2.41 или более поздней версии), поскольку Lazarus использует известные уязвимости в продукте как минимум с апреля 2022 года.
Уязвимость INISAFE ранее была задокументирована ИБ-компанией Symantec в 2022 году. ИБ-специалисты обнаружили сетевую активность хакеров в южнокорейских химических организациях. Атаки начинались с отправки вредоносного HTML-файла, который копируется в DLL-файл для компрометации INISAFE Web EX Client.
