Le groupe de piratage Lazarus, parrainé par l’État nord-coréen, s’attaque aux serveurs Web Windows Internet Information Service (IIS) pour les détourner à des fins de distribution de logiciels malveillants.
IIS est la solution de serveur Web de Microsoft utilisée pour héberger des sites Web ou des services d’application, tels que Outlook sur le Web de Microsoft Exchange.
Les analystes sud-coréens de la sécurité de l’ASEC ont précédemment signalé que Lazarus ciblait les serveurs IIS pour un accès initial aux réseaux d’entreprise. Aujourd’hui, la société de cybersécurité affirme que le groupe de menaces exploite également des services IIS mal protégés pour la distribution de logiciels malveillants.
Le principal avantage de cette technique est la facilité d’infection des visiteurs de sites Web ou des utilisateurs de services hébergés sur des serveurs IIS piratés appartenant à des organisations dignes de confiance.
Attaques contre la Corée du Sud
Lors des récentes attaques observées par les analystes de l’ASEC, Lazarus a compromis des sites Web sud-coréens légitimes pour effectuer des attaques « Watering Hole » sur les visiteurs utilisant une version vulnérable du logiciel INISAFE CrossWeb EX V6.
De nombreuses organisations publiques et privées en Corée du Sud utilisent ce logiciel particulier pour les transactions financières électroniques, la certification de sécurité, les services bancaires par Internet, etc.
La vulnérabilité INISAFE a déjà été documentée par Symantec et l’ASEC en 2022, expliquant qu’elle était exploitée à l’époque à l’aide de pièces jointes HTML.
« Une attaque typique commence lorsqu’un fichier HTM malveillant est reçu, probablement sous la forme d’un lien malveillant dans un e-mail ou téléchargé depuis le Web. Le fichier HTM est copié dans un fichier DLL appelé scskapplink.dll et injecté dans le logiciel de gestion de système légitime INISAFE Web EX Client », explique le rapport 2022 de Symantec.
L’exploitation de la faille récupère une charge utile « SCSKAppLink.dll » malveillante à partir d’un serveur Web IIS déjà compromis avant l’attaque pour l’utiliser comme serveur de distribution de logiciels malveillants.
« L’URL de téléchargement de ‘SCSKAppLink.dll’ a été identifiée comme étant le serveur Web IIS susmentionné », explique le nouveau rapport de l’ASEC.
« Cela signifie que l’acteur de la menace a attaqué et pris le contrôle des serveurs Web IIS avant de les utiliser comme serveurs pour distribuer des logiciels malveillants. »
L’ASEC n’a pas analysé la charge utile particulière, mais affirme qu’il s’agit probablement d’un téléchargeur de logiciels malveillants vu dans d’autres campagnes récentes de Lazarus.
Ensuite, Lazarus utilise le logiciel malveillant d’escalade de privilèges « JuicyPotato » (« usopriv.exe ») pour obtenir un accès de niveau supérieur au système compromis.
JuicyPotato est utilisé pour exécuter un deuxième chargeur de logiciels malveillants (‘usoshared.dat’) qui décrypte les fichiers de données téléchargés et les exécute en mémoire pour l’évasion AV.
L’ASEC recommande aux utilisateurs de NISAFE CrossWeb EX V6 de mettre à jour le logiciel vers sa dernière version, car l’exploitation par Lazarus des vulnérabilités connues du produit est en cours depuis au moins avril 2022.
La société de sécurité conseille aux utilisateurs de mettre à niveau vers la version 3.3.2.41 ou une version ultérieure et souligne les instructions de correction qu’elle a publiées il y a quatre mois, mettant en évidence la menace Lazarus.
Les serveurs d’applications Microsoft deviennent une cible populaire pour les pirates à utiliser dans la distribution de logiciels malveillants, probablement en raison de leur nature fiable.
Pas plus tard que la semaine dernière, le CERT-UA et Microsoft ont signalé que les pirates russes de Turla utilisaient des serveurs Microsoft Exchange compromis pour fournir des portes dérobées à leurs cibles.