Posté le mai 30, 2023 à 4:31

LE GROUPE DE HACKERS LAZARUS OBTIENT UN PREMIER ACCÈS EN EXPLOITANT DES SERVEURS WEB WINDOWS IIS VULNÉRABLES

Le célèbre groupe de hackers Nord-Coréens, le Lazarus Group, lance actuellement des attaques ciblant les serveurs web Windows Internet Information Services (IIS) vulnérables. Les exploits en question visent à donner aux acteurs de la menace un accès initial pour pirater les réseaux d’entreprise.

Le groupe de hackers Lazarus s’attaque aux serveurs web Windows IIS vulnérables

Le groupe de hackers Lazarus est l’un des groupes de hackers les plus connus, basé en Corée du Nord. Le groupe de hackers réalise généralement ses exploits de piratage pour des raisons financières. Selon certains analystes, les exploits de piratage réalisés par le groupe servent à financer les programmes de développement d’armes en Corée du Nord.

Si la majorité des piratages réalisés par le groupe sont à motivation financière, le groupe s’est aussi engagé dans des opérations d’espionnage. La dernière tactique utilisée par le groupe consistait à cibler les serveurs Windows IIS. Cette activité de piratage a été détectée par des chercheurs Sud-Coréens du AhnLab Security Emergency Response Center (ASEC).

Les serveurs Windows Internet Information Services (IIS) sont largement utilisés par toutes sortes d’organisations. Ces serveurs sont utilisés pour héberger du contenu web, y compris des applications, des sites et des services, notamment Outlook de Microsoft Exchange qui fonctionne sur le web.

Les serveurs web IIS offrent une solution flexible qui est disponible depuis le lancement de Windows NT. La solution prend en charge différents protocoles tels que les protocoles HTTP, HTTP, FTP, FTP, SMTP et NNTP.

Toutefois, lorsque les serveurs sont obsolètes ou ne sont pas gérés correctement, ils peuvent être exploités et servir de point d’accès initial aux hackers, comme l’a montré l’activité récente du groupe de hackers Nord-Coréens Lazarus.

La récente activité détectée par les hackers Sud-Coréens fait suite à un rapport de Symantec faisant état de l’installation par des hackers de logiciels malveillants sur IIS. Le logiciel malveillant est ensuite utilisé pour exécuter des commandes sur les systèmes affectés par le biais de requêtes web. Les hackers sont également en mesure d’exploiter ce logiciel malveillant en évitant d’être détectés par les systèmes de sécurité.

Un autre rapport publié par Symantec indique qu’un groupe de hackers connu sous le nom de Cranfly utilisait une technique inconnue pour contrôler les logiciels malveillants. Le groupe d’acteurs de la menace utilisait les journaux du serveur web IIS pour mener les campagnes de logiciels malveillants.

Comment le groupe de hackers Lazarus a exploité les serveurs Windows IIS

Le groupe de hackers Lazarus a d’abord obtenu l’accès aux serveurs Windows IIS en exploitant des vulnérabilités et des configurations erronées connues. Ces vulnérabilités permettent aux acteurs de la menace de générer des fichiers au sein du serveur IIS par le biais du processus w3wp.exe.

Lorsque les hackers lancent cette activité malveillante, ils déposent ‘Wordconv.exe, qui est un code malveillant à l’intérieur des charges DLL, aux côtés d’une DLL malveillante connue sous le nom de ‘msvcr100.dll’ dans le même dossier. Il prend également en charge un fichier codé connu sous le nom de « msvcr100.dat ».

Après le lancement de « Wordconv.exe », le code malveillant contenu dans les charges DLL est utilisé pour décrypter l’exécutable Salsa20-encode à partir du fichier msvcr100.dat. Le hacker l’exécute ensuite dans la mémoire de l’appareil à un endroit où il ne sera pas détecté par les programmes antivirus.

Les chercheurs de l’ASEC ont en outre relevé quelques similitudes de code entre le  » msvcr100.dll  » et un autre logiciel malveillant détecté l’année dernière, connu sous le nom de  » cylvc.dll « . Ce dernier a également été exploité par le groupe de hackers Lazarus et utilisé pour désactiver les logiciels malveillants par le biais d’une technique « bring your own vulnerable driver » (apportez votre propre pilote vulnérable).

Compte tenu de la nature de ces activités de piratage, les chercheurs de l’ASEC ont déclaré que le fichier DLL nouvellement détecté est une nouvelle variante d’un logiciel malveillant similaire. Au cours de la deuxième phase de l’attaque, le groupe hackers de Lazarus a créé un deuxième logiciel malveillant connu sous le nom de « diagn.dll » en exploitant un plugin au sein de Notepad++.

Le second logiciel malveillant obtient une charge utile qui a été encodée avec l’algorithme RC6. Il décrypte ensuite le logiciel malveillant à l’aide d’une clé codée en dur, puis l’exécute dans la mémoire de l’appareil pour éviter d’être détecté.

Les recherches menées par l’ASEC n’ont pas permis de déterminer ce que la charge utile a fait dans le système violé, mais il y avait des signes de dumping LSASS montrant le vol d’informations d’identification. La dernière étape franchie par les hackers de Lazarus a consisté à effectuer une reconnaissance du réseau et un mouvement latéral en utilisant le port 3389 tout en s’appuyant sur des informations d’identification d’utilisateur valides qui ont vraisemblablement été volées.

Les chercheurs de l’ASEC n’ont pas détecté d’autres campagnes malveillantes de la part des hackers. Les hackers s’appuient fortement sur le chargement latéral de DLL dans le cadre de leur exploit. Les chercheurs de l’ASEC ont recommandé aux organisations d’être à l’affût de toute exécution de processus suspecte.

« Étant donné que le groupe d’acteurs de la menace utilise principalement la technique de chargement latéral de DLL lors de ses premières infiltrations, les entreprises doivent surveiller de manière proactive les relations anormales d’exécution de processus et prendre des mesures préventives pour empêcher le groupe de la menace de mener des activités telles que l’exfiltration d’informations et le déplacement latéral », indique le rapport de l’ASEC.