Новости Lazarus не спит: южнокорейские сайты становятся жертвами "атаки у водопоя"

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Хакеры заражают серверы Microsoft для атаки на химическую промышленность Южной Кореи.


e3q5n7g5u0frgss8twtwdfq35imzqa24.jpg


Специалисты компании ASEC AhnLab Для просмотра ссылки Войди или Зарегистрируйся , что северокорейская группировка Lazarus взламывает веб-серверы Microsoft IIS (Internet Information Service, IIS), чтобы использовать их для распространения вредоносного ПО.

IIS (Internet Information Service) — это решение Microsoft для веб-серверов, используемое для размещения веб-сайтов или служб приложений, таких как Microsoft Exchange Outlook в Интернете.

В обнаруженных атаках хакеры Lazarus скомпрометировали легитимные южнокорейские сайты, чтобы выполнить атаки типа «водопой» ( Watering hole ) на посетителей с использованием уязвимой версии программного обеспечения INISAFE CrossWeb EX V6.

Атака Watering hole заключается в том, что хакеры компрометируют сайт, который часто посещают целевые жертвы. После взлома злоумышленники внедряют в сайт вредоносный код, который активируется при посещении сайта пользователями. Таким образом в 2023 году несколько израильских сайтов в сфере логистики и доставки Для просмотра ссылки Войди или Зарегистрируйся об их пользователях.

Многие государственные и частные организации в Южной Корее используют INISAFE CrossWeb EX V6 для финансовых транзакций, сертификации безопасности, интернет-банкинга и т.д.

Атака начинается с получения вредоносного HTM -файла через ссылку в электронном письме или путём загрузки файла из Интернета. Затем HTM-файл копируется в DLL -файл и внедряется в ПО для управления системой INISAFE Web EX Client.

Эксплуатация уязвимости позволяет получить вредоносную полезную нагрузку с сервера IIS, уже скомпрометированного перед атакой, для использования в качестве сервера для распространения вредоносных программ. Специалисты ASEC не анализировали конкретную полезную нагрузку, но утверждают, что это может быть загрузчик вредоносного ПО, замеченный в других кампаниях Lazarus.

Затем Lazarus использует вредоносное ПО для повышения привилегий JuicyPotato, чтобы получить доступ более высокого уровня к скомпрометированной системе. JuicyPotato используется для запуска второго загрузчика вредоносных программ, который расшифровывает загруженные файлы и выполняет их в памяти для обхода антивируса.

ASEC Для просмотра ссылки Войди или Зарегистрируйся пользователям INISAFE CrossWeb EX обновить ПО до последней версии (3.3.2.41 или более поздней версии), поскольку Lazarus использует известные уязвимости в продукте как минимум с апреля 2022 года.

Уязвимость INISAFE ранее Для просмотра ссылки Войди или Зарегистрируйся ИБ-компанией Symantec в 2022 году. ИБ-специалисты обнаружили сетевую активность хакеров в южнокорейских химических организациях. Атаки начинались с отправки вредоносного HTML -файла, который копируется в DLL-файл для компрометации INISAFE Web EX Client.
 
Источник новости
www.securitylab.ru

Похожие темы