Lazarus hackers target Windows IIS web servers for initial access
นักวิจัยชาวเกาหลีใต้ที่ AhnLab Security Emergency Response Center (ASEC) พบว่าแฮ็กเกอร์ชื่อดังจากเกาหลีเหนือที่รัฐหนุนหลังหรือที่รู้จักในชื่อ Lazarus Group กำลังกำหนดเป้าหมายเว็บเซิร์ฟเวอร์ Windows Internet Information Services (IIS) ที่มีช่องโหว่เพื่อเข้าถึงเครือข่ายองค์กรในเบื้องต้น เว็บเซิร์ฟเวอร์ Windows Internet Information Services (IIS) ถูกใช้โดยองค์กรทุกขนาดสำหรับการจัดการเนื้อหาเว็บ เช่น ไซต์ แอป และบริการต่างๆ เช่น Outlook บนเว็บของ Microsoft Exchange และเป็นโซลูชันที่ยืดหยุ่นซึ่งมีให้ตั้งแต่เปิดตัว Windows NT โดยสนับสนุนโปรโตคอล HTTP, HTTPS, FTP, FTPS, SMTP และ NNTP กลุ่ม Lazarus ได้ทำการเข้าถึงเซิร์ฟเวอร์ IIS ก่อนโดยใช้ช่องโหว่ที่รู้จักหรือการกำหนดค่าที่ไม่ถูกต้อง ซึ่งอนุญาตให้ผู้คุกคามสร้างไฟล์บนเซิร์ฟเวอร์ IIS โดยใช้ w3wp.exe process หลังจากนั้นจะทำการวางไฟล์ Wordconv.exe ซึ่งเป็นส่วนหนึ่งของ Microsoft Office, DLL ที่เป็นอันตราย (msvcr100.dll) ในโฟลเดอร์เดียวกัน และไฟล์เข้ารหัสชื่อ msvcr100.dat
เมื่อเปิดใช้งาน Wordconv.exe โค้ดที่เป็นอันตรายในไฟล์ DLL จะถูกโหลดเพื่อถอดรหัสไฟล์ปฏิบัติการที่เข้ารหัส Salsa20 จาก msvcr100.dat และรันในหน่วยความจำที่เครื่องมือป้องกันไวรัสตรวจไม่พบ นอกจากนี้นักวิจัยของ ASEC ยังพบรหัสที่คล้ายกันระหว่าง msvcr100.dll และมัลแวร์อื่น ๆที่พบเมื่อปีที่แล้ว cylvc.dll ซึ่ง Lazarus ใช้เพื่อปิดโปรแกรมป้องกันมัลแวร์โดยใช้เทคนิค bring your own vulnerable driver ดังนั้นจึงถือว่าไฟล์ DLL ที่เพิ่งค้นพบนี้เป็นมัลแวร์ชนิดเดียวกัน ในระยะที่สองของการโจมตีกลุ่ม Lazarus สร้างมัลแวร์ตัวที่สอง (diagn.dll) โดยใช้ปลั๊กอิน Notepad++ โดยมัลแวร์ตัวที่สองได้รับเพย์โหลดใหม่ที่เข้ารหัสด้วยอัลกอริทึม RC6 ในครั้งนี้ ถูกถอดรหัสโดยใช้คีย์แบบฮาร์ดโค้ดและดำเนินการในหน่วยความจำเพื่อหลบเลี่ยงการตรวจจับ นักวิจัยของ ASEC ไม่สามารถระบุได้ว่าเพย์โหลดนี้ทำอะไรกับระบบที่ถูกโจมตี แต่เห็นสัญญาณของการทิ้ง LSASS ซึ่งชี้ไปที่กิจกรรมการขโมยข้อมูลประจำตัว
ขั้นตอนสุดท้ายของการโจมตี Lazarus คือการดำเนินการสำรวจเครือข่ายและการเคลื่อนที่ด้านข้างผ่านพอร์ต 3389 (Remote Desktop) โดยใช้ข้อมูลรับรองผู้ใช้ที่ถูกต้อง ซึ่งสันนิษฐานว่าถูกขโมยในขั้นตอนก่อนหน้า อย่างไรก็ตามนักวิจัยของ ASEC ไม่พบกิจกรรมที่เป็นอันตรายใดๆ อีกหลังจากที่ผู้โจมตีแพร่กระจายไปในเครือข่าย เนื่องจากกลุ่ม Lazarus อาศัยไฟล์ DLL sideloading เป็นส่วนหนึ่งของการโจมตี นักวิจัยของ ASEC จึงแนะนำให้องค์กรตรวจสอบการดำเนินการกระบวนการที่ผิดปกติและใช้มาตรการป้องกันเพื่อป้องกันไม่ให้กลุ่มแฮ็กเกอร์ดำเนินกิจกรรมต่างๆ เนื่องจากกลุ่มแฮ็กเกอร์ใช้เทคนิค DLL side-loading เป็นหลักในระหว่างการแทรกซึมครั้งแรก
https://www.bleepingcomputer.com/news/security/lazarus-hackers-target-windows-iis-web-servers-for-initial-access/