ASEC发现,朝鲜的国家赞助的LazarusAPT组织正在攻击 Windows Internet Information Service(IIS)Web服务器,并使用它们来分发恶意软件。攻击者利用“水坑”技术通过黑客攻击韩国网站并修改其内容来获得初步访问权限。
详细深入
Lazarus利用“水坑”技术来获得初步访问权限。通过攻击韩国网站并修改其内容,Lazarus利用了 INISAFE CrossWeb EX V6 的漏洞。
当使用有漏洞的 INISAFE CrossWeb EX V6 版本的用户访问这些站点时,Lazarus恶意软件(SCSKAppLink.dll)会通过 INISAFECrossWebEXSvc.exe 漏洞进行安装。
为了提升权限并促进恶意活动,Lazarus部署了用Themida打包的JuicyPotato恶意软件。
在成功渗透系统后,攻击者尝试通过这些漏洞安装 "SCSKAppLink.dll" 恶意软件。这种恶意软件充当下载器,从外部来源获取额外的恶意软件,允许攻击者控制受损的系统。
关于Lazarus的最新消息
JumpCloud的安全漏洞被归咎于LazarusAPT团队。这次攻击导致JumpCloud重置了其客户的API密钥,并采取预防措施以保护他们的系统。
在六月,Lazarus被认为是对Atomic Wallet最近的攻击的责任者,导致至少3500万美元的加密货币被盗。
在四月,发现了一种名为RustBucket的新的macOS恶意软件,据信是与朝鲜有关的BlueNoroff组织使用的。BlueNoroff是Lazarus的一个子集。
最后总结
Lazarus组织针对 Windows IIS web 服务器的活动对组织和个人都构成了重大风险。因此,组织必须采取严格的措施,包括攻击面管理,以识别暴露的资产并不断应用最新的安全补丁。对抗这种国家资助的威胁行动者,积极的安全实践至关重要。
原文始发于微信公众号(XDsecurity):威胁情报信息分享|Lazarus针对 Windows IIS Web 服务器进行恶意软件分发
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论