Уязвимые сервера Microsoft IIS стали инструментом шпионажа хакеров Lazarus Group

AhnLab ASEC DLL Sideloading DLL C2-сервер Lazarus Lazarus Group Notepad++ Quick Color Picker IIS
Уязвимые сервера Microsoft IIS стали инструментом шпионажа хакеров Lazarus Group
AhnLab ASEC DLL Sideloading DLL C2-сервер Lazarus Lazarus Group Notepad++ Quick Color Picker IIS

В ходе атак использовался устаревший плагин Notepad++ для доставки вредоносного ПО.

image

Центр реагирования на чрезвычайные ситуации AhnLab Security (ASEC) сообщает, что северокорейская хакерская группировка Lazarus Group нацелена на уязвимые версии серверов Microsoft Internet Information Services (IIS) для развертывания вредоносного ПО в целевых системах.

По данным AhnLab Securit, группа использует метод боковой загрузки DLL (DLL Sideloading) для запуска произвольных полезных нагрузок. Хакеры помещают вредоносную DLL (msvcr100.dll) в тот же путь к папке, что и обычное приложение (Wordconv.exe) через процесс веб-сервера Windows IIS, w3wp.exe. Затем злоумышленники запускают обычное приложение, чтобы инициировать выполнение вредоносной DLL.

Вредоносная библиотека «msvcr100.dll» предназначена для расшифровки закодированных полезных данных, которые затем выполняются в памяти. Утверждается, что вредоносное ПО представляет собой вариант, который был обнаружен ASEC в прошлом году и действовал как бэкдор для связи с C2-сервером.

Цепочка атак также повлекла за собой использование плагина Notepad++ с открытым исходным кодом под названием Quick Color Picker, поддержка которого уже прекращена, для доставки дополнительных вредоносных программ, чтобы облегчить кражу учетных данных и боковое перемещение.

Последняя разработка демонстрирует разнообразие атак Lazarus и способность группы использовать обширный набор инструментов для проведения долгосрочных шпионских операций.