Posté le juillet 25, 2023 à 7:12

LE GROUPE DE HACKERS LAZARUS LANCE DES ATTAQUES VISANT LES SERVEURS IIS DE MICROSOFT

Le groupe de hackers Lazarus, un groupe de hackers parrainé par l’État de Corée du Nord, a continué à lancer des attaques de hackers. Ce groupe a été accusé d’infiltrer les serveurs web Windows Internet Information Service (IIS) pour y accéder illégalement afin de propager des logiciels malveillants.

Les hackers de Lazarus utilisent les serveurs IIS de Microsoft pour déployer des logiciels malveillants

L’Internet Information Service (IIS) est une solution de serveur web proposée par Microsoft. IIS est utilisé pour héberger des sites web et des services d’application tels que Microsoft Exchange Outlook sur le web. Les hackers Nord-Coréens s’attaquent désormais à ces serveurs pour lancer des campagnes de piratage.

Selon les analystes de sécurité d’une société de cybersécurité Sud-Coréenne connue sous le nom d’ASEC, le groupe hackers Lazarus a ciblé les serveurs IIS pour obtenir un accès initial aux réseaux d’entreprise.

Les chercheurs de l’ASEC ont également déclaré que le groupe de hackers Lazarus avait ciblé des services IIS qui n’étaient pas bien protégés. Ces services étaient utilisés pour distribuer des logiciels malveillants et causer des dommages aux appareils ciblés.

L’objectif principal de l’utilisation de cette technique pour lancer ces attaques de piratage était la facilité avec laquelle les visiteurs de différents sites web pouvaient être infectés. La technique visait également les utilisateurs de différents services hébergés sur des serveurs IIS compromis. Ces serveurs appartiennent à des organisations dignes de confiance.

Des hackers Nord-Coréens s’en prennent à la Corée du Sud

Les récentes campagnes de piratage détectées par les chercheurs de l’ASEC ont révélé que le groupe de hackers Lazarus avait compromis des sites web légitimes opérant en Corée du Sud. Ces sites ont été compromis pour mener des attaques de piratage de type « Watering Hole » contre les visiteurs du site.

Les attaques en question ont été menées à l’aide d’une version vulnérable du logiciel INISAFE CrossWeb EX V6, que les hackers ont exploité pour obtenir un accès initial. La majorité des organisations privées et publiques basées en Corée du Sud utilisent ce logiciel pour réaliser un large éventail de fonctions.

Parmi les services rendus possibles par ce logiciel figurent les transactions financières électroniques, les services bancaires en ligne et la certification de sécurité, entre autres. La faille de sécurité d’INISAFE a déjà été révélée par des chercheurs de l’ASEC et de Symantec, qui ont exposé la possibilité de piratage dans un rapport publié l’année dernière.

Les chercheurs de l’ASEC et de Symantec ont indiqué que la faille de sécurité était exploitée par le biais de pièces jointes à des e-mails au format HTML. Les attaques menées par le biais de cette vulnérabilité commencent dès qu’un fichier HTML malveillant est reçu. Le fichier en question contient un lien malveillant dans l’e-mail, ou le lien a peut-être été téléchargé depuis le web.

« Une attaque typique commence par la réception d’un fichier HTML malveillant, probablement sous la forme d’un lien malveillant dans un courrier électronique ou téléchargé depuis le web. Le fichier HTML est copié dans un fichier DLL appelé scskapplink.dll et injecté dans le logiciel de gestion de système légitime INISAFE Web EX Client », ont déclaré les chercheurs de Symantec.

Chaque fois que cette faille est exploitée, elle déclenche une charge utile malveillante « SCSKAppLink.dll » à partir du serveur web IIS qui a déjà été compromis. Cette compromission se produit avant l’exploitation d’une faille et son utilisation comme serveur de distribution de logiciels malveillants.

Les chercheurs ont noté que la technique utilisée par les hackers indiquait qu’ils avaient exploité et pris le contrôle des serveurs web IIS avant que ces serveurs ne puissent être utilisés pour distribuer des logiciels malveillants.

Les chercheurs de l’ASEC n’ont pas analysé la charge utile utilisée pour mener ces campagnes de piratage. Toutefois, il est probable qu’un téléchargeur de logiciels malveillants détecté dans d’autres campagnes de Lazarus soit à l’origine de ce récent exploit.

Le groupe de hackers Lazarus utilise également le logiciel malveillant d’élévation de privilèges « JuicyPotato » pour obtenir un meilleur accès au système affecté. JuicyPotato est utilisé pour déployer un second logiciel malveillant qui décrypte les fichiers de données téléchargés avant de les exécuter dans la mémoire afin de ne pas être détecté par les antivirus.

Les chercheurs de l’ASEC ont recommandé aux utilisateurs de NISAFE CrossWeb EX V6 de mettre à jour le logiciel vers la dernière version. Le groupe de hackers Lazarus exploite activement les vulnérabilités de ce produit depuis au moins avril dernier.

La société de sécurité a également envoyé un avis aux utilisateurs leur demandant de passer à la version 3.3.2.41 ou aux versions ultérieures. La société a également exhorté les utilisateurs à remédier aux instructions publiées précédemment pour montrer la menace que représentent ces hackers parrainés par l’État.

Les serveurs d’applications Microsoft sont de plus en plus souvent la cible de hackers qui veulent les utiliser pour diffuser des logiciels malveillants. Ces serveurs sont probablement utilisés parce qu’ils jouissent d’une grande confiance.

L’autre groupe de hackers qui a lancé des campagnes similaires est le groupe Russe Turla. La semaine dernière, un rapport du CERT-UA et de Microsoft indiquait que le groupe de hackers Turla avait compromis des serveurs Microsoft Exchange pour créer des portes dérobées vers des cibles.