Notícias de dispositivos móveis, gadgets, aplicativos Android

Sequestro de grupo Lazarus APT Windows Servidores IIS para distribuir malware

Os atores de amea√ßas sempre procuram dispositivos e redes vulner√°veis ‚Äč‚Äčpara obter acesso il√≠cito e realizar atividades maliciosas para atingir seus objetivos.

O grupo APT, Lazarus, como caminho inicial de violação, visando ativamente os servidores Microsoft Internet Information Services (IIS).

Pesquisadores de segurança cibernética do Centro de Resposta a Emergências de Segurança AhnLab (ASEC) confirmaram recentemente que os operadores do grupo Lazarus visavam os vulneráveis Windows servidores para usá-los como um servidor de distribuição de código malicioso.

O grupo Lazarus emprega ataques watering hole, manipulando sites domésticos e explorando vulnerabilidades do INISAFE CrossWeb EX V6 para distribuição de malware.

Apesar do patch Vulnerabilidade INITECHas explora√ß√Ķes recentes persistem, aproveitando servidores IIS comprometidos para distribui√ß√£o do malware.

L√°zaro Atacando o servidor IIS

O ataque do Lazarus ao servidor IIS foi destacado em maio de 2023, revelando a exploração de servidores web inseguros e tentativa de movimentação lateral via RDP.

Os invasores exploram servidores web vulner√°veis, instalando web shells ou executando comandos maliciosos, aproveitando vulnerabilidades correspondentes para a√ß√Ķes n√£o autorizadas executadas por w3wp.exe, um processo de servidor web IIS.

Enquanto o processo do servidor web IIS, w3wp(.)exe gera usopriv.exe, um malware JuicyPotato embalado com Themida responsável pelo escalonamento de privilégios, um entre vários códigos maliciosos baseados em Potato.

Os web shells ou ataques de dicion√°rio controlados por invasores n√£o possuem privil√©gios suficientes para executar a√ß√Ķes maliciosas desejadas dentro do w3wp.exe, e limita√ß√Ķes semelhantes se aplicam ao processo sqlservr.exe do servidor MS-SQL.

No entanto, os agentes de amea√ßas usam frequentemente malware de escalonamento de privil√©gios para superar esse obst√°culo. Abaixo, mencionamos todos os comandos que s√£o executados pelos atores da amea√ßa usando JuicyPotato: ‚Äď

%SystemRoot%\system32\cmd.exe /c whoami > c:\programdata
%SystemRoot%\system32\cmd.exe /c whoami > c:\programdata
%SystemRoot%\system32\cmd.exe /c whoami > c:\programdata\nueio.txt
%SystemRoot%\system32\cmd.exe /c rundll32 c:\programdata\usoshered.dat ,usoprivfunc 4729858204985024133
%SystemRoot%\system32\cmd.exe /c del c:\programdata\nueio.txt
%SystemRoot%\system32\cmd.exe /c whoami > c:\users\%ASD%\desktop\ngc\test.txt

O invasor utilizou o JuicyPotato para executar o malware Loader, empregando rundll32 com um argumento de string aleatório para executar a carga formatada em DLL.

N√≥s recomendamos:  Agora obtenha estat√≠sticas do Google Fit e FitBit em Google Assistant

O carregador decodifica o nome do arquivo de dados para obter ‘{20D1BF68-64EE-489D-9229-95FEFE5F12A4}’, confirmando sua presen√ßa em v√°rios caminhos.

Um arquivo não seguro no caminho relevante confirma o malware do Loader, descriptografando e executando o arquivo de dados codificados na memória.

O grupo Lazarus combina o malware Loader com arquivos de dados criptografados, decodificando-os e executando-os na memória.

Embora arquivos de dados específicos permaneçam não verificados, casos anteriores indicam que o malware final executado é normalmente um downloader ou backdoor.

O invasor explorou a vulnerabilidade INISAFE para instalar ‚ÄúSCSKAppLink.dll‚ÄĚ como c√≥digo malicioso adicional, com o servidor web IIS servindo como fonte de download.

Embora n√£o tenha sido confirmado, ‚ÄúSCSKAppLink.dll‚ÄĚ parece semelhante ao c√≥digo malicioso anterior do Lazarus Attack Group, explorando o processo INITECH, funcionando como um downloader e permitindo o controle remoto por meio da instala√ß√£o de malware especificado.

Lazarus é um dos grupos APT altamente sofisticados que usa vários tipos de vetores de ataque furtivos.

Analistas de segurança pediram os usuários permaneçam vigilantes e implantem um sistema de gerenciamento de patches atualizado.

COI

MD5

‚Äď 280152dfeb6d3123789138c0a396f30d : JuicyPotato (usopriv.exe)
‚Äď d0572a2dd4da042f1c64b542e24549d9 : Loader (usoshered.dat)

Table of Contents