Lazarus Hacking Group Sfrutta Server Microsoft IIS per Diffondere Malware
Il gruppo di hacking Lazarus, sponsorizzato dallo stato nordcoreano, ha recentemente attuato un nuovo attacco mirato contro i server web del servizio Windows Internet Information Service (IIS) di Microsoft. Questo gruppo di minacce sta utilizzando tattiche sofisticate per compromettere i server IIS al fine di diffondere malware pericolosi.
IIS è una delle soluzioni di server web più utilizzate al mondo, spesso impiegata per ospitare siti web e servizi applicativi, come ad esempio Outlook sul Web di Microsoft Exchange. La sua diffusione rende i server IIS un obiettivo allettante per gli hacker, in particolare per il gruppo Lazarus, noto per le sue attività di spionaggio e attacchi sponsorizzati dallo stato.
Gli analisti di sicurezza della Corea del Sud presso ASEC hanno scoperto che Lazarus sta puntando i server IIS per ottenere l’accesso iniziale alle reti aziendali. Ma non è tutto: oltre all’accesso, questo gruppo di minacce ha scoperto che i server IIS poco protetti possono essere sfruttati anche per distribuire malware.
Una delle tecniche principali utilizzate da Lazarus coinvolge attacchi “Watering Hole” su siti web legittimi in Corea del Sud. In questo tipo di attacco, i cybercriminali compromettono siti web attendibili frequentati dai loro obiettivi. In questo caso specifico, Lazarus ha sfruttato una versione vulnerabile del software INISAFE CrossWeb EX V6, ampiamente utilizzato da organizzazioni pubbliche e private per transazioni finanziarie e altre operazioni critiche.
La vulnerabilità INISAFE era già stata documentata da Symantec e ASEC nel 2022, ma i cybercriminali di Lazarus hanno continuato a sfruttarla con successo fino ad aprile 2022. L’attacco inizia con l’invio di un file HTM maligno, che, una volta ricevuto dall’utente, viene iniettato nel legittimo software di gestione di sistema INISAFE Web EX Client sotto forma di un file DLL chiamato “scskapplink.dll”. Da qui, il sistema viene infettato da un payload maligno denominato “SCSKAppLink.dll” scaricato da un server web IIS precedentemente compromesso dal gruppo Lazarus.
Per garantire un maggior accesso e controllo al sistema compromesso, Lazarus utilizza il malware di escalation dei privilegi noto come “JuicyPotato”. Questo malware consente loro di ottenere un accesso più elevato e di eseguire un secondo caricatore di malware denominato “usoshared.dat”. Il caricatore decifra i file di dati scaricati e li esegue in memoria per evitare la rilevazione da parte degli strumenti di sicurezza.
Per proteggersi da queste minacce di sicurezza, ASEC consiglia agli utenti di INISAFE CrossWeb EX V6 di aggiornare il software all’ultima versione disponibile (3.3.2.41 o successiva). È fondamentale che le organizzazioni e gli utenti si attengano a pratiche di sicurezza robuste e aggiornino regolarmente i loro software per ridurre le vulnerabilità e proteggere i propri dati sensibili.
Con l’aumento dell’interconnessione e della dipendenza dalle tecnologie digitali, la sicurezza informatica è diventata una priorità assoluta. Questo recente attacco di Lazarus ai server Microsoft IIS sottolinea l’importanza di adottare misure di sicurezza proattive e di vigilare costantemente contro potenziali minacce di hacking. Mantenere i software aggiornati e consapevoli delle vulnerabilità note è essenziale per proteggere la sicurezza dei dati e la continuità delle operazioni.