Lazarus, nhóm tin tặc khét tiếng được nhà nước Bắc Triều Tiên hậu thuẫn, hiện đang nhắm mục tiêu các máy chủ web Windows Internet Information Services (IIS) dễ bị tấn công để giành quyền truy cập ban đầu vào mạng công ty.
Lazarus chủ yếu có động cơ tài chính, các hoạt động độc hại của nhóm được cho là nhằm tạo điều kiện cho các chương trình phát triển vũ khí của Triều Tiên. Ngoài ra, nhóm này cũng tham gia vào một số hoạt động gián điệp.
Chiến thuật nhắm mục tiêu máy chủ Windows IIS mới nhất đã được các nhà nghiên cứu Hàn Quốc tại Trung tâm ứng cứu khẩn cấp sự cố bảo mật AhnLab (ASEC) phát hiện.
Máy chủ web Windows IIS được nhiều tổ chức sử dụng để lưu trữ nội dung web như trang web, ứng dụng và dịch vụ, chẳng hạn như dịch vụ Outlook dựa trên Web của Microsoft Exchange. Đây là một giải pháp linh hoạt đã có sẵn kể từ khi Windows NT ra mắt, hỗ trợ các giao thức HTTP, HTTPS, FTP, FTPS, SMTP và NNTP. Tuy nhiên, nếu các máy chủ được quản lý kém hiệu quả hoặc lỗi thời, chúng có thể bị tin tặc lợi dụng như một một điểm xâm nhập mạng.
Trước đây, Symantec đã từng báo cáo về việc tin tặc triển khai phần mềm độc hại trên máy chủ IIS để thực thi các lệnh trên hệ thống bị xâm phạm thông qua yêu cầu web, tránh bị các công cụ bảo mật phát hiện.
Một báo cáo khác cho biết một nhóm tin tặc có tên 'Cranfly' đang sử dụng một kỹ thuật kiểm soát mã độc mới bằng cách sử dụng nhật ký (log) máy chủ web IIS.
Các cuộc tấn công của Lazarus vào IIS
Đầu tiên, Lazarus giành quyền truy cập vào máy chủ IIS bằng cách khai thác các lỗ hổng đã biết hoặc lỗi cấu hình sai cho phép chúng tạo các tệp tin trên máy chủ IIS đang chạy w3wp.exe.
Sau đó, tin tặc tải xuống tệp 'Wordconv.exe,' một tệp hợp pháp là một phần của Microsoft Office, cùng với một DLL độc hại ('msvcr100.dll') và một tệp được mã hóa có tên 'msvcr100.dat' vào cùng thư mục.
Khi khởi chạy 'Wordconv.exe', tệp DLL độc hại sẽ được load để giải mã tệp thực thi được mã hóa Salsa20 từ msvcr100.dat và thực thi nó trong bộ nhớ nơi các công cụ chống vi-rút không thể phát hiện ra.
ASEC đã nhận thấy một số điểm tương đồng về mã nguồn giữa 'msvcr100.dll' và một phần mềm độc hại khác mà họ đã phát hiện vào năm ngoái, 'cylvc.dll', được Lazarus sử dụng để vô hiệu hóa các chương trình chống mã độc. Do đó, ASEC cho rằng tệp DLL mới được phát hiện là một biến thể mới của cùng một phần mềm độc hại.
Trong giai đoạn tiếp theo của cuộc tấn công, Lazarus đã tạo phần mềm độc hại thứ hai ('diagn.dll') bằng cách khai thác plugin Notepad++. Phần mềm này nhận một payload đã được mã hóa RC6, giải mã và thực thi nó bên trong bộ nhớ để tránh bị phát hiện.
ASEC chưa xác định được payload này đã làm gì trên hệ thống bị xâm phạm, nhưng họ đã phát hiện các dấu hiệu cho thấy hoạt động đánh cắp thông tin xác thực.
Cuối cùng, Lazarus thực hiện do thám mạng và mở rộng phạm vi xâm phạm qua cổng 3389 (Remote Desktop) bằng thông tin xác thực của người dùng hợp lệ, có lẽ đã bị đánh cắp ở bước trước.
Tuy nhiên, ASEC hiện chưa phát hiện thêm bất kỳ hoạt động độc hại nào sau khi những kẻ tấn công thâm nhập vào mạng.
Vì Lazarus thường xuyên sử dụng kỹ thuật load DLL trong các cuộc tấn công của chúng, ASEC khuyến nghị các tổ chức nên giám sát chặt chẽ các tiến trình (process) thực thi bất thường, đồng thời triển khai các biện pháp phòng ngừa để ngăn chặn nhóm đe dọa thực hiện các hoạt động như đánh cắp thông tin và lây lan trên mạng.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Một đối tượng nam, 28 tuổi đến từ Fleetwood, Hertfordshire, Vương quốc Anh đã bị kết tội truy cập máy tính trái phép với mục đích phạm tội và tống tiền ông chủ của mình.
Tín nhiệm mạng | GitLab đã phát hành bản cập nhật bảo mật khẩn cấp, phiên bản 16.0.1, để giải quyết một lỗi path traversal có định danh CVE-2023-2825, lỗ hổng đặc biệt nghiêm trọng có điểm CVSS v3.1: 10 trên thang 10.
Tín nhiệm mạng | Google đã ra mắt Mobile Vulnerability Rewards Program (Mobile VRP), một chương trình bug bounty mới sẽ trả thưởng cho các nhà nghiên cứu bảo mật cho các lỗ hổng được phát hiện trong các ứng dụng Android của công ty.
Tín nhiệm mạng | Phát hiện trojan truy cập từ xa mới trên Play Store ẩn trong một ứng dụng recording Android có tên là iRecorder với hàng chục nghìn lượt cài đặt.
Tín nhiệm mạng | PyPI đã tạm thời đình chỉ người dùng mới đăng ký cũng như không cho phép các dự án mới được tải lên nền tảng cho đến khi có thông báo mới.
Tín nhiệm mạng | Chiến dịch phát tán phần mềm độc hại mới đang được tiến hành bằng cách giả mạo công cụ chỉnh sửa video CapCut để phát tán các phần mềm độc hại khác nhau.