Lazarus 组织加大对韩国服务器的攻击力度

韩国研究人员发现臭名昭著的 Lazarus 组织发起的一系列高度复杂的网络攻击，目标是韩国的网络服务器。

攻击者一直在渗透 IIS 服务器以部署基于 ASP 的 Web Shell，这些 Web Shell 充当第一阶段的命令和控制 (C2) 服务器。这些初始 C2 服务器充当中介，将通信中继到辅助 C2 基础设施，从而可以更深入地渗透到受感染的系统中。

这些最新攻击于 2025 年 1 月首次被发现，展示了 2024 年 5 月观察到的类似方法的改进，突显Lazarus 组织持久且不断发展的策略。Lazarus 组织一直在利用合法的网络服务器建立攻击基础设施，并随着时间的推移不断改进其方法。

据韩国安氏实验室安全情报中心 (ASEC) 称，最新攻击活动涉及在易受攻击的 IIS 服务器上安装多个基于 ASP 的 Web Shell。

值得注意的新增内容是“RedHat Hacker”Web Shell 的修改版本，存储在文件名“function2.asp”下。与之前使用“1234qwer”作为身份验证密码的版本不同，最新版本现在需要“2345rdx”，这反映出安全措施的增强。

其他部署的Web Shell（例如“file_uploader_ok.asp”和“find_pwd.asp”）使攻击者能够对受感染的服务器进行广泛的控制。这些工具可以进行文件操作、进程执行，甚至 SQL 查询操作。

为了逃避检测，这些 Web Shell 采用了先进的混淆技术，即使在初始解码后仍以 VBE 格式编码。这种复杂性使安全分析和检测变得更加困难。

恶意代码的结构进一步证明了这些攻击的复杂性。通过检查第二和第三个字节是否包含字符串“OK”来验证初始化数据包，而第一个字节则作为加密密钥。

C2 脚本增强功能

2025 年 1 月活动中使用的 C2 脚本充当受感染服务器与攻击者基础设施之间的中介。与以前的版本不同，更新后的脚本支持表单数据和基于 cookie 的通信，这表明 Lazarus 的工具集正在不断改进。

根据表单数据中的“代码”字段，脚本执行不同的命令，包括：

“MidRequest” – 数据重定向

“ProxyCheck” – 中间信息存储

“ReadFile” 和 “WriteFile” – 文件操作

“ClientHello” – 使用 Mid Info 处理响应

这些命令使攻击者能够对被渗透的系统实施全面控制。

除了 Web Shell 之外，攻击者还部署了 LazarLoader 恶意软件来下载其他负载。此高级加载器利用标识为“Node.Js_NpmStart”的 16 字节密钥直接在内存中解密并执行负载。

攻击序列通常从安装 Web Shell 开始，然后通过 w3wp.exe IIS Web 服务器进程部署 LazarLoader。为了提升权限，攻击者使用名为“sup.etl”的恶意软件组件，该组件充当绕过用户帐户控制 (UAC) 的打包程序。

安全专家强烈建议管理员检查 Web 服务器是否存在允许未经授权的文件上传的漏洞，特别是针对基于 ASP 的 Web shell。

技术报告：

https://asec.ahnlab.com/en/86687/

新闻链接：

https://www.cysecurity.news/2025/03/lazarus-group-intensifies-attacks-on.html

讲述普通人能听懂的安全故事