Az észak-koreai állami támogatású Lazarus hackercsoport előszeretettel intéz támadásokat Windows Internet Information Service (IIS) webszerverek ellen, például rosszindulatú szoftverek terjesztéséhez.
Az IIS a Microsoft webszerver megoldása, amelyet weboldalak vagy alkalmazás szolgáltatások, például a Microsoft Exchange Outlook hosztolására használnak.
Az ASEC dél-koreai biztonsági elemzői korábban arról számoltak be, hogy a Lazarus IIS szervereket egyrészről a vállalati hálózatokhoz való kezdeti hozzáférés céljából veszi célba, de emellett a rosszul védett IIS szolgáltatásokat is kihasználja rosszindulatú programok terjesztésére. A megbízható szervezetek kompromittált IIS szerverekről elérhető weboldalak látogatóit vagy a szolgáltatások felhasználóit ugyanis könnyen meg lehet fertőzni.
Az APT csoport az INISAFE CrossWeb EX V6 szoftver sebezhető verzióját használva “Watering Hole” támadásokat hajtott végre a látogatókon. Dél-Koreában számos állami és magánszervezet használja ezt a szoftvert elektronikus pénzügyi tranzakciókhoz, biztonsági tanúsítványokhoz, netbankoláshoz stb. Az INISAFE sebezhetőségét korábban a Symantec és az ASEC is dokumentálta 2022-ben, kifejtve, hogy akkoriban HTML e-mail mellékletek segítségével használták ki.
A támadás egy rosszindulatú ‘SCSKAppLink.dll’ payload letöltésével folytatódik egy IIS webszerverről. Ezután a Lazarus a “JuicyPotato” kártevőt (“usopriv.exe”) használja, hogy magasabb szintű hozzáférést szerezzen a megtámadott rendszerhez. A JuicyPotato-t egy második rosszindulatú program (‘usoshared.dat’) futtatására használják, amely visszafejti a letöltött adatfájlokat, és az AntiVirus kikerülés érdekében a memóriában hajtja végre azokat.
Az ASEC azt javasolja, hogy a NISAFE CrossWeb EX V6 felhasználói frissítsék a szoftvert a legújabb verzióra, mivel a Lazarus legalább 2022 áprilisa óta kihasználja a termék ismert sebezhetőségeit.
A Microsoft alkalmazás szerverek egyre népszerűbb célpontok a hackerek számára, amelyeket a rosszindulatú programok terjesztéséhez használnak fel. A CERT-UA és a Microsoft arról számolt be, hogy orosz Turla hackerek kompromittált Microsoft Exchange szervereket használnak backdoorok létrehozására.
