26.07.2023 | Lazarus не спит: южнокорейские сайты становятся жертвами "атаки у водопоя" |
Специалисты компании ASEC AhnLab сообщают , что северокорейская группировка Lazarus взламывает веб-серверы Microsoft IIS (Internet Information Service, IIS), чтобы использовать их для распространения вредоносного ПО. IIS (Internet Information Service) — это решение Microsoft для веб-серверов, используемое для размещения веб-сайтов или служб приложений, таких как Microsoft Exchange Outlook в Интернете. В обнаруженных атаках хакеры Lazarus скомпрометировали легитимные южнокорейские сайты, чтобы выполнить атаки типа «водопой» ( Watering hole ) на посетителей с использованием уязвимой версии программного обеспечения INISAFE CrossWeb EX V6. Атака Watering hole заключается в том, что хакеры компрометируют сайт, который часто посещают целевые жертвы. После взлома злоумышленники внедряют в сайт вредоносный код, который активируется при посещении сайта пользователями. Таким образом в 2023 году несколько израильских сайтов в сфере логистики и доставки были взломаны с целью сбора информации об их пользователях. Многие государственные и частные организации в Южной Корее используют INISAFE CrossWeb EX V6 для финансовых транзакций, сертификации безопасности, интернет-банкинга и т.д. Атака начинается с получения вредоносного HTM -файла через ссылку в электронном письме или путём загрузки файла из Интернета. Затем HTM-файл копируется в DLL -файл и внедряется в ПО для управления системой INISAFE Web EX Client. Эксплуатация уязвимости позволяет получить вредоносную полезную нагрузку с сервера IIS, уже скомпрометированного перед атакой, для использования в качестве сервера для распространения вредоносных программ. Специалисты ASEC не анализировали конкретную полезную нагрузку, но утверждают, что это может быть загрузчик вредоносного ПО, замеченный в других кампаниях Lazarus. Затем Lazarus использует вредоносное ПО для повышения привилегий JuicyPotato, чтобы получить доступ более высокого уровня к скомпрометированной системе. JuicyPotato используется для запуска второго загрузчика вредоносных программ, который расшифровывает загруженные файлы и выполняет их в памяти для обхода антивируса. ASEC рекомендует пользователям INISAFE CrossWeb EX обновить ПО до последней версии (3.3.2.41 или более поздней версии), поскольку Lazarus использует известные уязвимости в продукте как минимум с апреля 2022 года. Уязвимость INISAFE ранее была задокументирована ИБ-компанией Symantec в 2022 году. ИБ-специалисты обнаружили сетевую активность хакеров в южнокорейских химических организациях. Атаки начинались с отправки вредоносного HTML -файла, который копируется в DLL-файл для компрометации INISAFE Web EX Client. |
Проверить безопасность сайта