Les pirates notoires soutenus par l’État nord-coréen, connus sous le nom de groupe Lazarus, ciblent désormais les serveurs Web Windows Internet Information Services (IIS) vulnérables pour obtenir un accès initial aux réseaux d’entreprise.
Lazarus est principalement motivé financièrement, de nombreux analystes estimant que les activités malveillantes des pirates aident à financer les programmes de développement d’armes de la Corée du Nord. Cependant, le groupe a également été impliqué dans plusieurs opérations d’espionnage.
La dernière tactique consistant à cibler les serveurs Windows IIS a été découverte par des chercheurs sud-coréens du AhnLab Security Emergency Response Center (ASEC).
Attaques sur les serveurs IIS
Les serveurs Web Windows Internet Information Services (IIS) sont utilisés par des organisations de toutes tailles pour héberger du contenu Web comme des sites, des applications et des services, comme Outlook sur le Web de Microsoft Exchange.
Il s’agit d’une solution flexible disponible depuis le lancement de Windows NT, prenant en charge les protocoles HTTP, HTTPS, FTP, FTPS, SMTP et NNTP.
Cependant, si les serveurs sont mal gérés ou obsolètes, ils peuvent servir de points d’entrée au réseau pour les pirates.
Auparavant, Symantec avait signalé que des pirates déployaient des logiciels malveillants sur IIS pour exécuter des commandes sur les systèmes piratés via des requêtes Web, évitant ainsi la détection des outils de sécurité.
Un rapport séparé a révélé qu’un groupe de piratage nommé « Cranfly » utilisait une technique inconnue de contrôle des logiciels malveillants en utilisant les journaux du serveur Web IIS.
Les attaques de Lazarus contre IIS
Lazarus accède d’abord aux serveurs IIS en utilisant des vulnérabilités connues ou des erreurs de configuration qui permettent aux pirates de créer des fichiers sur le serveur IIS à l’aide du processus w3wp.exe.
Les pirates déposent « Wordconv.exe », un fichier légitime faisant partie de Microsoft Office, une DLL malveillante (« msvcr100.dll ») dans le même dossier et un fichier codé nommé « msvcr100.dat ».
Lors du lancement de « Wordconv.exe », le code malveillant dans la DLL se charge pour décrypter l’exécutable encodé en Salsa20 à partir de msvcr100.dat et l’exécuter en mémoire là où les outils antivirus ne peuvent pas le détecter.
L’ASEC a trouvé plusieurs similitudes de code entre ‘msvcr100.dll’ et un autre logiciel malveillant qu’il a observé l’année dernière, ‘cylvc.dll’, qui a été utilisé par Lazarus pour désactiver les programmes anti-malware en utilisant la technique « apportez votre propre pilote vulnérable ».
Par conséquent, l’ASEC considère le fichier DLL nouvellement découvert comme une nouvelle variante du même logiciel malveillant.
Dans la seconde phase de l’attaque, Lazarus crée un second malware (‘diagn.dll’) en exploitant un plugin Notepad++.
Ce deuxième logiciel malveillant reçoit cette fois une nouvelle charge utile encodée avec l’algorithme RC6, la déchiffre à l’aide d’une clé codée en dur et l’exécute en mémoire pour l’évasion.
L’ASEC n’a pas pu déterminer ce que cette charge utile a fait sur le système piraté, mais elle a vu des signes de vidage LSASS indiquant une activité de vol d’identifiants.
La dernière étape de l’attaque Lazarus consistait à effectuer une reconnaissance du réseau et un mouvement latéral via le port 3389 (Remote Desktop) à l’aide d’informations d’identification utilisateur valides, vraisemblablement volées à l’étape précédente.
Cependant, l’ASEC n’a découvert aucune autre activité malveillante après que les attaquants se sont propagés latéralement sur le réseau.
Comme Lazarus s’appuie fortement sur le chargement latéral de DLL dans le cadre de ses attaques, l’ASEC recommande aux organisations de surveiller l’exécution anormale des processus.
« En particulier, étant donné que le groupe de menaces utilise principalement la technique de chargement latéral de DLL lors de ses infiltrations initiales, les entreprises doivent surveiller de manière proactive les relations anormales d’exécution des processus et prendre des mesures préventives pour empêcher le groupe de menaces de mener des activités telles que l’exfiltration d’informations et le mouvement latéral, » conclut le rapport de l’ASEC.