Grupo Lazarus atacando servidores Web Windows IIS vulneráveis

Views: 240
0 0
Read Time:1 Minute, 13 Second

O Lazarus Group, agente de ameaças apoiado pelo Estado norte-coreano, reinventou sua campanha de espionagem em andamento, explorando vulnerabilidades conhecidas em servidores Web Windows IIS não corrigidos para implantar seu malware de reconhecimento.

Pesquisadores do AhnLab Security Response Center (ASEC) relataram que a última rodada de ataques de espionagem usou a técnica de sideloading de DLL de assinatura do Lazarus Group durante o comprometimento inicial.

“O registro do AhnLab Smart Defense (ASD) … (mostraram) que os sistemas de servidor Windows estão sendo alvo de ataques, e comportamentos maliciosos estão sendo realizados por meio do w3wp.exe, um processo de servidor Web IIS”, explicaram os pesquisadores da ASEC. “Portanto, pode-se presumir que o agente da ameaça usa servidores Web mal gerenciados ou vulneráveis como suas rotas de violação iniciais antes de executar seus comandos mal-intencionados posteriormente.”

Os vetores de ataque iniciais para a campanha de coleta de inteligência incluem máquinas sem patch com vulnerabilidades conhecidas, como Log4Shell, vulnerabilidades de certificado público e ataque à cadeia de suprimentos 3CX, aconselhou a equipe da ASEC.

“Em particular, uma vez que o grupo de ameaças utiliza principalmente a técnica de sideload de DLL durante suas infiltrações iniciais, as empresas devem monitorar proativamente as relações de execução de processos anormais e tomar medidas preventivas para impedir que o grupo de ameaças realize atividades como exfiltração de informações e movimentação lateral”, acrescentou o relatório do AhnLab.

FONTE: DARK READING

POSTS RELACIONADOS