Lazarus Grubu olarak bilinen kötü şöhretli Kuzey Kore devlet destekli bilgisayar korsanları, şirket ağlarına ilk erişim elde etmek için savunmasız Windows Internet Bilgi Hizmetleri (IIS) web sunucularını hedefliyor.
Lazarus öncelikle finansal olarak motive edilmektedir, birçok analist bilgisayar korsanlarının kötü niyetli faaliyetlerinin Kuzey Kore'nin silah geliştirme programlarını finanse etmeye yardımcı olduğuna inanmaktadır. Bununla birlikte, grup çeşitli casusluk operasyonlarında da yer almaktadır.
Windows IIS sunucularını hedeflemenin en son taktiği, Güney Koreli araştırmacılar tarafından Ahnlab Güvenlik Acil Müdahale Merkezi'nde (ASEC) keşfedildi.
Windows Internet Bilgi Hizmetleri (IIS) Web sunucuları, Microsoft Exchange'in Web'deki görünümü gibi siteler, uygulamalar ve hizmetler gibi web içeriklerini barındırmak için her boyuttaki kuruluşlar tarafından kullanılır.
HTTP, HTTPS, FTP, FTPS, SMTP ve NNTP protokollerini destekleyen Windows NT'nin piyasaya sürülmesinden bu yana mevcut olan esnek bir çözümdür.
Ancak, sunucular kötü yönetilir veya modası geçmişse, bilgisayar korsanları için ağ giriş noktaları olarak hareket edebilirler.
Daha önce, Symantec, ihlal edilen sistemlerde komutları web istekleri aracılığıyla yürütmek için IIS üzerinde kötü amaçlı yazılım dağıtma ve güvenlik araçlarından algılamadan kaçınan bilgisayar korsanlarını bildirdi.
Ayrı bir rapor, 'Cranfly' adlı bir hack grubunun IIS web sunucusu günlüklerini kullanarak bilinmeyen bir kötü amaçlı yazılım kontrol tekniği kullandığını ortaya koydu.
Lazarus ilk olarak, tehdit aktörlerinin W3WP.EXE işlemini kullanarak IIS sunucusunda dosya oluşturmasına izin veren bilinen güvenlik açıklarını veya yanlış yapılandırmaları kullanarak IIS sunucularına erişim kazanır.
Bilgisayar korsanları 'WordConv.exe', Microsoft Office'in bir parçası olan meşru bir dosya, aynı klasörde kötü amaçlı bir DLL ('msvcr100.dll') ve 'msvcr100.dat' adlı kodlanmış bir dosyayı düşürdü.
'Wordconv.exe' başlattıktan sonra, MSVCR100.DAT'den Salsa20 kodlu yürütülebilir dosyayı çözmek ve antivirüs araçlarının algılayamayacağı bellekte yürütmek için DLL'deki kötü amaçlı kod yüklenir.
ASEC, 'MSVCR100.dll' ile geçen yıl gözlemlediği başka bir kötü amaçlı yazılım arasında çeşitli kod benzerliği buldu, Lazarus tarafından "kendi savunmasız sürücünüzü getir" tekniğini kullanarak kötü amaçlı yazılım önleme programlarını devre dışı bırakmak için kullanıldı.
Bu nedenle ASEC, yeni keşfedilen DLL dosyasını aynı kötü amaçlı yazılımdan yeni bir varyant olarak görür.
Saldırının ikinci aşamasında Lazarus, bir not defteri ++ eklentisini kullanarak ikinci bir kötü amaçlı yazılım ('Diagn.dll') oluşturur.
Bu ikinci kötü amaçlı yazılım, bu sefer RC6 algoritması ile kodlanmış yeni bir yük alır, sert kodlanmış bir anahtar kullanarak şifresini çözer ve kaçırma için bellekte yürütür.
ASEC, bu yükün ihlal edilen sistemde ne yaptığını belirleyemedi, ancak LSASS'ın kimlik belgesi etkinliğine işaret eden damping belirtileri gördü.
Lazarus saldırısının son adımı, muhtemelen önceki adımda çalınan geçerli kullanıcı kimlik bilgilerini kullanarak 3389 bağlantı noktasından (uzak masaüstü) ağ keşif ve yanal hareketi gerçekleştirmekti.
Bununla birlikte, ASEC, saldırganlar ağa yanal olarak yayıldıktan sonra başka kötü niyetli faaliyetler ortaya çıkarmamıştır.
Lazarus, saldırılarının bir parçası olarak DLL kenar yüklemesine büyük ölçüde güvendiği için ASEC, kuruluşların anormal süreç yürütmeyi izlemelerini önermektedir.
"Özellikle, tehdit grubu öncelikle ilk sızıntıları sırasında DLL yan yükleme tekniğini kullandığından, şirketler anormal süreç yürütme ilişkilerini proaktif olarak izlemeli ve tehdit grubunun bilgi söndürme ve lateral hareket gibi faaliyetleri gerçekleştirmesini önlemek için önlemler almalıdır. "ASEC'in raporunu bitiriyor.
Microsoft, Surface Dizüstü bilgisayarlarında çalışmayan kameralar için düzeltme paylaşıyor
Microsoft Mayıs 2023 Patch Salı 3 sıfır gün, 38 kusur düzeltiyor
Lazarus Hacker'ları artık sahte iş teklifleri aracılığıyla Linux kötü amaçlı yazılımları itin
Microsoft: Windows Laps, eski politikalarla uyumsuz
Microsoft Nisan 2023 Patch Salı Düzeltmeleri 1 Sıfır Gün, 97 Kusur
Kaynak: Bleeping Computer