Studiuesit e ASEC kanë zbuluar se grupi Lazarus përdor serverë ueb me Microsoft IIS (Internet Information Service) për të shpërndarë malware. Avantazhi kryesor i kësaj teknike është lehtësia me të cilën infektohen vizitorët e faqes ose përdoruesit e shërbimeve të pritura në serverët IIS.
Server IIS për të shpërndarë malware
Deri më tani, grupi Lazarus kishte shfrytëzuar dobësitë ose konfigurimet e gabuara të serverëve IIS për të hyrë në rrjetet e korporatave. Kriminelët kibernetikë të Koresë së Veriut kohët e fundit përdorën serverët IIS për të shpërndarë malware JuicyPotato.
Sulmi fillon me dërgimin e një emaili që përmban një lidhje në një skedar HTM. Në realitet, është skedari scskapplink.dll që është injektuar në versionin e cenueshëm të softuerit INISAFE CrossWeb EX V6. DLL shkarkohet nga një server IIS, më pas kriminelët kibernetikë morën kontrollin e serverit, i cili më vonë u përdor për të shpërndarë malware.
DLL është një downloader që shkarkon JuicePotato, me të cilin bëhet përshkallëzimi i privilegjeve. Grupi Lazarus më pas merr kontrollin e sistemit për të kryer aktivitete të tjera të paligjshme, duke përfshirë ekzekutimin e komandës në distancë, instalimin e dyerve të pasme të qëndrueshmërisë dhe vjedhjen e të dhënave.
Përdoruesit duhet të përditësojnë softuerin INISAFE CrossWeb EX V6 në versionin më të fundit. Në vend të kësaj, administratorët e serverit IIS duhet të zbatojnë të gjitha masat e nevojshme për të shmangur ndërhyrjet e paautorizuara. Shumë kriminelë kibernetikë përdorin serverët ekzistues për të kursyer kostot e infrastrukturës. Grupi Turla kohët e fundit përdori serverët e Microsoft Exchange për të vendosur një backdoor.
Discussion about this post