Os atores de ameaças sempre procuram dispositivos e redes vulneráveis para obter acesso ilícito e realizar atividades maliciosas para atingir seus objetivos.
O grupo APT, Lazarus, como caminho inicial de violação, visando ativamente os servidores Microsoft Internet Information Services (IIS).
Pesquisadores de segurança cibernética do Centro de Resposta a Emergências de Segurança AhnLab (ASEC) confirmaram recentemente que os operadores do grupo Lazarus visavam os vulneráveis Windows servidores para usá-los como um servidor de distribuição de código malicioso.
O grupo Lazarus emprega ataques watering hole, manipulando sites domésticos e explorando vulnerabilidades do INISAFE CrossWeb EX V6 para distribuição de malware.
Apesar do patch Vulnerabilidade INITECHas explorações recentes persistem, aproveitando servidores IIS comprometidos para distribuição do malware.
Lázaro Atacando o servidor IIS
O ataque do Lazarus ao servidor IIS foi destacado em maio de 2023, revelando a exploração de servidores web inseguros e tentativa de movimentação lateral via RDP.
Os invasores exploram servidores web vulneráveis, instalando web shells ou executando comandos maliciosos, aproveitando vulnerabilidades correspondentes para ações não autorizadas executadas por w3wp.exe, um processo de servidor web IIS.
Enquanto o processo do servidor web IIS, w3wp(.)exe gera usopriv.exe, um malware JuicyPotato embalado com Themida responsável pelo escalonamento de privilégios, um entre vários códigos maliciosos baseados em Potato.
Os web shells ou ataques de dicionário controlados por invasores não possuem privilégios suficientes para executar ações maliciosas desejadas dentro do w3wp.exe, e limitações semelhantes se aplicam ao processo sqlservr.exe do servidor MS-SQL.
No entanto, os agentes de ameaças usam frequentemente malware de escalonamento de privilégios para superar esse obstáculo. Abaixo, mencionamos todos os comandos que são executados pelos atores da ameaça usando JuicyPotato: –
%SystemRoot%\system32\cmd.exe /c whoami > c:\programdata
%SystemRoot%\system32\cmd.exe /c whoami > c:\programdata
%SystemRoot%\system32\cmd.exe /c whoami > c:\programdata\nueio.txt
%SystemRoot%\system32\cmd.exe /c rundll32 c:\programdata\usoshered.dat ,usoprivfunc 4729858204985024133
%SystemRoot%\system32\cmd.exe /c del c:\programdata\nueio.txt
%SystemRoot%\system32\cmd.exe /c whoami > c:\users\%ASD%\desktop\ngc\test.txt
O invasor utilizou o JuicyPotato para executar o malware Loader, empregando rundll32 com um argumento de string aleatório para executar a carga formatada em DLL.
O carregador decodifica o nome do arquivo de dados para obter ‘{20D1BF68-64EE-489D-9229-95FEFE5F12A4}’, confirmando sua presença em vários caminhos.
Um arquivo não seguro no caminho relevante confirma o malware do Loader, descriptografando e executando o arquivo de dados codificados na memória.
O grupo Lazarus combina o malware Loader com arquivos de dados criptografados, decodificando-os e executando-os na memória.
Embora arquivos de dados específicos permaneçam não verificados, casos anteriores indicam que o malware final executado é normalmente um downloader ou backdoor.
O invasor explorou a vulnerabilidade INISAFE para instalar “SCSKAppLink.dll” como código malicioso adicional, com o servidor web IIS servindo como fonte de download.
Embora não tenha sido confirmado, “SCSKAppLink.dll” parece semelhante ao código malicioso anterior do Lazarus Attack Group, explorando o processo INITECH, funcionando como um downloader e permitindo o controle remoto por meio da instalação de malware especificado.
Lazarus é um dos grupos APT altamente sofisticados que usa vários tipos de vetores de ataque furtivos.
Analistas de segurança pediram os usuários permaneçam vigilantes e implantem um sistema de gerenciamento de patches atualizado.
COI
MD5
– 280152dfeb6d3123789138c0a396f30d : JuicyPotato (usopriv.exe)
– d0572a2dd4da042f1c64b542e24549d9 : Loader (usoshered.dat)
