В ходе атак использовался устаревший плагин Notepad++ для доставки вредоносного ПО.
Центр реагирования на чрезвычайные ситуации AhnLab Security ( ASEC ) Для просмотра ссылки Войдиили Зарегистрируйся , что северокорейская хакерская группировка Lazarus Group нацелена на уязвимые версии серверов Microsoft Internet Information Services ( IIS ) для развертывания вредоносного ПО в целевых системах.
По данным AhnLab Securit, группа использует метод боковой загрузки DLL ( DLL Sideloading ) для запуска произвольных полезных нагрузок. Хакеры помещают вредоносную DLL (msvcr100.dll) в тот же путь к папке, что и обычное приложение (Wordconv.exe) через процесс веб-сервера Windows IIS, w3wp.exe. Затем злоумышленники запускают обычное приложение, чтобы инициировать выполнение вредоносной DLL.
Вредоносная библиотека «msvcr100.dll» предназначена для расшифровки закодированных полезных данных, которые затем выполняются в памяти. Утверждается, что вредоносное ПО представляет собой вариант, который был обнаружен ASEC в прошлом году и действовал как бэкдор для связи с C2-сервером.
Цепочка атак также повлекла за собой использование плагина Notepad++ с открытым исходным кодом под названием Для просмотра ссылки Войдиили Зарегистрируйся , поддержка которого уже прекращена, для доставки дополнительных вредоносных программ, чтобы облегчить кражу учетных данных и боковое перемещение.
Последняя разработка демонстрирует разнообразие атак Lazarus и способность группы использовать обширный набор инструментов для проведения долгосрочных шпионских операций.
Центр реагирования на чрезвычайные ситуации AhnLab Security ( ASEC ) Для просмотра ссылки Войди
По данным AhnLab Securit, группа использует метод боковой загрузки DLL ( DLL Sideloading ) для запуска произвольных полезных нагрузок. Хакеры помещают вредоносную DLL (msvcr100.dll) в тот же путь к папке, что и обычное приложение (Wordconv.exe) через процесс веб-сервера Windows IIS, w3wp.exe. Затем злоумышленники запускают обычное приложение, чтобы инициировать выполнение вредоносной DLL.
Вредоносная библиотека «msvcr100.dll» предназначена для расшифровки закодированных полезных данных, которые затем выполняются в памяти. Утверждается, что вредоносное ПО представляет собой вариант, который был обнаружен ASEC в прошлом году и действовал как бэкдор для связи с C2-сервером.
Цепочка атак также повлекла за собой использование плагина Notepad++ с открытым исходным кодом под названием Для просмотра ссылки Войди
Последняя разработка демонстрирует разнообразие атак Lazarus и способность группы использовать обширный набор инструментов для проведения долгосрочных шпионских операций.
- Источник новости
- www.securitylab.ru