🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Nhóm tin tặc Lazarus đang nhắm mục tiêu vào các máy chủ web Windows IIS

30/05/2023

Lazarus, nhóm tin tặc khét tiếng được nhà nước Bắc Triều Tiên hậu thuẫn, hiện đang nhắm mục tiêu các máy chủ web Windows Internet Information Services (IIS) dễ bị tấn công để giành quyền truy cập ban đầu vào mạng công ty.

Lazarus chủ yếu có động cơ tài chính, các hoạt động độc hại của nhóm được cho là nhằm tạo điều kiện cho các chương trình phát triển vũ khí của Triều Tiên. Ngoài ra, nhóm này cũng tham gia vào một số hoạt động gián điệp.

Chiến thuật nhắm mục tiêu máy chủ Windows IIS mới nhất đã được các nhà nghiên cứu Hàn Quốc tại Trung tâm ứng cứu khẩn cấp sự cố bảo mật AhnLab (ASEC) phát hiện.

Máy chủ web Windows IIS được nhiều tổ chức sử dụng để lưu trữ nội dung web như trang web, ứng dụng và dịch vụ, chẳng hạn như dịch vụ Outlook dựa trên Web của Microsoft Exchange. Đây là một giải pháp linh hoạt đã có sẵn kể từ khi Windows NT ra mắt, hỗ trợ các giao thức HTTP, HTTPS, FTP, FTPS, SMTP và NNTP. Tuy nhiên, nếu các máy chủ được quản lý kém hiệu quả hoặc lỗi thời, chúng có thể bị tin tặc lợi dụng như một một điểm xâm nhập mạng.

Trước đây, Symantec đã từng báo cáo về việc tin tặc triển khai phần mềm độc hại trên máy chủ IIS để thực thi các lệnh trên hệ thống bị xâm phạm thông qua yêu cầu web, tránh bị các công cụ bảo mật phát hiện.

Một báo cáo khác cho biết một nhóm tin tặc có tên 'Cranfly' đang sử dụng một kỹ thuật kiểm soát mã độc mới bằng cách sử dụng nhật ký (log) máy chủ web IIS.

Các cuộc tấn công của Lazarus vào IIS

Đầu tiên, Lazarus giành quyền truy cập vào máy chủ IIS bằng cách khai thác các lỗ hổng đã biết hoặc lỗi cấu hình sai cho phép chúng tạo các tệp tin trên máy chủ IIS đang chạy w3wp.exe.

Sau đó, tin tặc tải xuống tệp 'Wordconv.exe,' một tệp hợp pháp là một phần của Microsoft Office, cùng với một DLL độc hại ('msvcr100.dll') và một tệp được mã hóa có tên 'msvcr100.dat' vào cùng thư mục.

Khi khởi chạy 'Wordconv.exe', tệp DLL độc hại sẽ được load để giải mã tệp thực thi được mã hóa Salsa20 từ msvcr100.dat và thực thi nó trong bộ nhớ nơi các công cụ chống vi-rút không thể phát hiện ra.

ASEC đã nhận thấy một số điểm tương đồng về mã nguồn giữa 'msvcr100.dll' và một phần mềm độc hại khác mà họ đã phát hiện vào năm ngoái, 'cylvc.dll', được Lazarus sử dụng để vô hiệu hóa các chương trình chống mã độc. Do đó, ASEC cho rằng tệp DLL mới được phát hiện là một biến thể mới của cùng một phần mềm độc hại.

Trong giai đoạn tiếp theo của cuộc tấn công, Lazarus đã tạo phần mềm độc hại thứ hai ('diagn.dll') bằng cách khai thác plugin Notepad++. Phần mềm này nhận một payload đã được mã hóa RC6, giải mã và thực thi nó bên trong bộ nhớ để tránh bị phát hiện.

ASEC chưa xác định được payload này đã làm gì trên hệ thống bị xâm phạm, nhưng họ đã phát hiện các dấu hiệu cho thấy hoạt động đánh cắp thông tin xác thực.

Cuối cùng, Lazarus thực hiện do thám mạng và mở rộng phạm vi xâm phạm qua cổng 3389 (Remote Desktop) bằng thông tin xác thực của người dùng hợp lệ, có lẽ đã bị đánh cắp ở bước trước.

Tuy nhiên, ASEC hiện chưa phát hiện thêm bất kỳ hoạt động độc hại nào sau khi những kẻ tấn công thâm nhập vào mạng.

Vì Lazarus thường xuyên sử dụng kỹ thuật load DLL trong các cuộc tấn công của chúng, ASEC khuyến nghị các tổ chức nên giám sát chặt chẽ các tiến trình (process) thực thi bất thường, đồng thời triển khai các biện pháp phòng ngừa để ngăn chặn nhóm đe dọa thực hiện các hoạt động như đánh cắp thông tin và lây lan trên mạng.

Nguồn: bleepingcomputer.com.

scrolltop