Lazarus не спит: южнокорейские сайты становятся жертвами "атаки у водопоя"

Специалисты компании ASEC AhnLab сообщают , что северокорейская группировка Lazarus взламывает веб-серверы Microsoft IIS (Internet Information Service, IIS), чтобы использовать их для распространения вредоносного ПО.

IIS (Internet Information Service) — это решение Microsoft для веб-серверов, используемое для размещения веб-сайтов или служб приложений, таких как Microsoft Exchange Outlook в Интернете.

В обнаруженных атаках хакеры Lazarus скомпрометировали легитимные южнокорейские сайты, чтобы выполнить атаки типа «водопой» (Watering hole) на посетителей с использованием уязвимой версии программного обеспечения INISAFE CrossWeb EX V6.

Атака Watering hole заключается в том, что хакеры компрометируют сайт, который часто посещают целевые жертвы. После взлома злоумышленники внедряют в сайт вредоносный код, который активируется при посещении сайта пользователями. Таким образом в 2023 году несколько израильских сайтов в сфере логистики и доставки были взломаны с целью сбора информации об их пользователях.

Многие государственные и частные организации в Южной Корее используют INISAFE CrossWeb EX V6 для финансовых транзакций, сертификации безопасности, интернет-банкинга и т.д.

Атака начинается с получения вредоносного HTM-файла через ссылку в электронном письме или путём загрузки файла из Интернета. Затем HTM-файл копируется в DLL-файл и внедряется в ПО для управления системой INISAFE Web EX Client.

Эксплуатация уязвимости позволяет получить вредоносную полезную нагрузку с сервера IIS, уже скомпрометированного перед атакой, для использования в качестве сервера для распространения вредоносных программ. Специалисты ASEC не анализировали конкретную полезную нагрузку, но утверждают, что это может быть загрузчик вредоносного ПО, замеченный в других кампаниях Lazarus.

Затем Lazarus использует вредоносное ПО для повышения привилегий JuicyPotato, чтобы получить доступ более высокого уровня к скомпрометированной системе. JuicyPotato используется для запуска второго загрузчика вредоносных программ, который расшифровывает загруженные файлы и выполняет их в памяти для обхода антивируса.

ASEC рекомендует пользователям INISAFE CrossWeb EX обновить ПО до последней версии (3.3.2.41 или более поздней версии), поскольку Lazarus использует известные уязвимости в продукте как минимум с апреля 2022 года.

Уязвимость INISAFE ранее была задокументирована ИБ-компанией Symantec в 2022 году. ИБ-специалисты обнаружили сетевую активность хакеров в южнокорейских химических организациях. Атаки начинались с отправки вредоносного HTML-файла, который копируется в DLL-файл для компрометации INISAFE Web EX Client.