Grupo de hackers, patrocinado pelo governo norte-coreano, está violando os servidores IIS para sequestrá-los e utilizá-los na distribuição de malware
O grupo de hackers Lazarus, patrocinado pelo governo norte-coreano, está violando os servidores web do Windows Internet Information Service (IIS) para sequestrá-los e utilizá-los na distribuição de malware. O IIS é oservidor web da Microsoft usado para hospedar sites ou serviços de aplicativos, como o Outlook na web do Exchange.
Analistas de segurança do AhnLab Security Emergency Response Center (Asec) da Coreia do Sul relataram que o Lazarus estava mirando servidores IIS para acesso inicial a redes corporativas. Hoje, a agênciade segurança cibernética diz que o grupo de ameaças também utiliza serviços IIS mal protegidos para distribuição de malware.
A principal vantagem dessa técnica, segundo eles, é a facilidade de infectar visitantes de sites ou usuários de serviços hospedados em servidores IIS violados pertencentes a organizações confiáveis. Nos ataques recentes observados pelos analistas da Asec, o Lazarus comprometeu sites sul-coreanos para realizar ataques “watering hole” avisitantes usando uma versão vulnerável do software INISAFE CrossWeb EX V6.
Muitas organizações públicas e privadas na Coreia do Sul usam esee software específico para transações financeiras eletrônicas, certificação de segurança, internet banking, etc. A vulnerabilidade INISAFE foi documentada pela Symantec e pela Asec no ano passado, explicando que foi explorada usando anexos de e-mail em HTML na época.
“Um ataque típico começa quando um arquivo HTM malicioso é recebido, provavelmente como um link malicioso em um e-mail ou baixado da web. O arquivo HTM é copiado para um arquivo DLL chamado scskapplink.dll e injetado no software legítimo de gerenciamento de sistema INISAFE Web EX Client”, explica o relatório de 2022 da Symantec.
A Asec não analisou a carga específica, mas diz que provavelmente é um downloader de malware visto em outras campanhas recentes do Lazarus. A agência coreana recomenda que os usuários do INISAFE CrossWeb EX V6 atualizem o software para sua versão mais recente, pois a exploração de vulnerabilidades conhecidas do Lazarus no produto está em andamento desde ao menos abril de 2022.
Na semana passada, o CERT da Ucrânia e a Microsoft relataram que os hackers russos do Turla estavam usando servidores comprometidos do Microsoft Exchange para entregar backdoors aos seus alvos.
FONTE: CISO ADVISOR