O grupo de hackers do Lazarus agora têm como alvo os servidores Web vulneráveis do Windows Internet Information Services (IIS) para obter acesso inicial às redes corporativas. O Lazarus é principalmente motivado financeiramente, com muitos analistas acreditando que as atividades maliciosas dos hackers ajudam a financiar os programas de desenvolvimento de armas da Coreia do Norte. No entanto, o grupo também esteve envolvido em várias operações de espionagem.
Lazarus ataca servidores da Web do Windows IIS
A tática mais recente de direcionar servidores Windows IIS foi descoberta por pesquisadores sul-coreanos no AhnLab Security Emergency Response Center (ASEC). Os servidores Web do Windows Internet Information Services (IIS) são usados por organizações de todos os tamanhos para hospedar conteúdo da Web, como sites, aplicativos e serviços, como o Outlook na Web do Microsoft Exchange.
É uma solução flexível que está disponível desde o lançamento do Windows NT, suportando os protocolos HTTP, HTTPS, FTP, FTPS, SMTP e NNTP. No entanto, se os servidores forem mal gerenciados ou desatualizados, eles podem atuar como pontos de entrada na rede para hackers.
Anteriormente, a Symantec relatou sobre hackers implantando malware no IIS para executar comandos nos sistemas violados por meio de solicitações da Web, evitando a detecção de ferramentas de segurança.
Um relatório separado revelou que um grupo de hackers chamado ‘Cranfly’ estava empregando uma técnica desconhecida de controle de malware usando logs do servidor web IIS.
Ataques de Lazarus ao IIS
O Lazarus primeiro obtém acesso aos servidores IIS usando vulnerabilidades conhecidas ou configurações incorretas que permitem que os agentes de ameaças criem arquivos no servidor IIS usando o processo w3wp.exe. Os hackers colocam ‘Wordconv.exe’, um arquivo legítimo que faz parte do Microsoft Office, uma DLL maliciosa (‘msvcr100.dll’) na mesma pasta e um arquivo codificado chamado ‘msvcr100.dat’.
Ao iniciar o ‘Wordconv.exe’, o código malicioso na DLL é carregado para descriptografar o executável codificado em Salsa20 de msvcr100.dat e executá-lo na memória onde as ferramentas antivírus não podem detectá-lo.
A ASEC encontrou várias semelhanças de código entre ‘msvcr100.dll’ e outro malware observado no ano passado , ‘cylvc.dll’, que foi usado pelo Lazarus para desabilitar programas anti-malware usando a técnica “traga seu próprio driver vulnerável”. Portanto, a ASEC considera o arquivo DLL recém-descoberto uma nova variante do mesmo malware.
Na segunda fase do ataque, o Lazarus cria um segundo malware (‘diagn.dll’) explorando um plug-in do Notepad++. Esse segundo malware recebe uma nova carga útil codificada com o algoritmo RC6 desta vez, descriptografa-a usando uma chave codificada e a executa na memória para evasão.
A ASEC não conseguiu determinar o que essa carga útil fazia no sistema violado, mas viu sinais de despejo de LSASS apontando para atividade de roubo de credenciais. A etapa final do ataque do Lazarus foi realizar o reconhecimento da rede e o movimento lateral através da porta 3389 (área de trabalho remota) usando credenciais de usuário válidas, presumivelmente roubadas na etapa anterior.
No entanto, a ASEC não descobriu nenhuma outra atividade maliciosa depois que os invasores se espalharam lateralmente na rede.