cyber-4444450_640.jpg

Lazarus mira servidores web da Microsoft para espalhar spyware

Da Redação
25/05/2023

O grupo Lazarus, ligado ao governo da Coréia do Norte, vem sendo rastreado tentando invadir  servidores web Windows IIS para lançar ataques de espionagem, de acordo com uma nova análise do AhnLab Security Emergency response Center (ASEC).Os pesquisadores disseram que a abordagem que o grupo vem fazendo representa uma variação da técnica de carregamento lateral da biblioteca de vínculo dinâmico (DLL), uma tática regularmente utilizada pela gangue. Eles acreditam que os invasores usam “servidores da Web mal gerenciados ou vulneráveis como suas rotas iniciais de violação antes de executar seus comandos maliciosos posteriormente”.

“O operador da ameaça coloca uma DLL maliciosa [msvcr100.dll] no mesmo caminho da pasta que um aplicativo normal [Wordconv.exe], por meio do processo do servidor web do Windows IIS [w3wp.exe]. Eles então executam o aplicativo normal para iniciar a execução da DLL maliciosa. No Mitre ATT&CK, esse método de ataque é classificado como técnica de carregamento lateral de DLL (T1574.002). Após a infiltração inicial, o Lazarus estabelece uma base antes de criar malware adicional [diagn.dll] explorando o plugin seletor de cores de código aberto, que é um plug-in para o Notepad++. Este malware facilita o roubo de credenciais e movimentação lateral, ideal para realizar operações de espionagem”, explicou a ASEC.

No ano passado, a Microsoft publicou um aviso de que operadores de ameaças associados à Coreia do Norte utilizam software legítimo de código aberto visando funcionários de organizações de vários setores, em vários países.

A ASEC destacou a crescente sofisticação do grupo Lazarus e suas habilidades de utilizar uma variedade de vetores de ataque para realizar a violação inicial. Isso foi demonstrado em incidentes como Log4Shell, vulnerabilidade de certificado público e ataque à cadeia de suprimentos da empresa de VoIP 3CX.

Veja isso
Lazarus movimentou US$ 63,4 mi roubados do Harmony Bridge
Lazarus explora bug no driver da Dell usando o rootkit FudModule

Os pesquisadores alertam que o Lazarus é um dos grupos altamente perigosos que estão realizando ataques ativamente em todo o mundo. Portanto, os gerentes de segurança corporativa devem utilizar o gerenciamento de superfície de ataque para identificar os ativos que podem ser expostos a agentes de ameaças e ter cuidado ao aplicar os patches de segurança mais recentes sempre que possível.

Eles acrescentam que, devido ao foco do Lazarus na técnica de carregamento lateral da DLL durante as infiltrações iniciais, “as empresas devem monitorar proativamente as relações anormais de execução do processo e tomar medidas preventivas para impedir que o grupo de ameaças realize atividades como exfiltração de informações e movimentação lateral”.

Nesta semana, o governo dos EUA anunciou sanções a três entidades por causa de sua ligação com o principal serviço de inteligência da Coreia do Norte, o Reconnaissance General Bureau (RGB), que as autoridades americanas dizem estar por trás de muitos dos atos de espionagem e ciberespionagem ao país.

Compartilhar: