Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias N. Korean Lazarus Group apunta a los servidores Microsoft IIS

N. Korean Lazarus Group apunta a los servidores Microsoft IIS

por Dragora

El infame actor de Lazarus Group ha estado apuntando a versiones vulnerables de servidores de Microsoft Internet Information Services (IIS) como una ruta de violación inicial para implementar malware en sistemas específicos.

Los hallazgos provienen del Centro de respuesta a emergencias de seguridad de AhnLab (ASEC), que detalló el abuso continuo de la amenaza persistente avanzada (APT) de las técnicas de carga lateral de DLL para ejecutar cargas útiles arbitrarias.

«El actor de amenazas coloca una DLL maliciosa (msvcr100.dll) en la misma ruta de carpeta que una aplicación normal (Wordconv.exe) a través del proceso del servidor web Windows IIS, w3wp.exe», explicó ASEC. «Luego ejecutan la aplicación normal para iniciar la ejecución de la DLL maliciosa».

La carga lateral de DLL, similar al secuestro de orden de búsqueda de DLL, se refiere a la ejecución proxy de una DLL no autorizada a través de un binario benigno plantado en el mismo directorio.

Servidores Microsoft IIS

Lazarus, un grupo de estado-nación altamente capaz e implacable vinculado a Corea del Norte, fue visto recientemente aprovechando la misma técnica en relación con el ataque en cascada a la cadena de suministro contra el proveedor de servicios de comunicaciones empresariales 3CX.

La biblioteca maliciosa msvcr100.dll, por su parte, está diseñada para descifrar una carga útil codificada que luego se ejecuta en la memoria. Se dice que el malware es una variante de un artefacto similar que fue descubierto por ASEC el año pasado y que actuó como una puerta trasera para comunicarse con un servidor controlado por actores.

La cadena de ataque implicó además la explotación de un complemento de código abierto Notepad ++ descontinuado llamado Quick Color Picker para entregar malware adicional con el fin de facilitar el robo de credenciales y el movimiento lateral.

El último desarrollo demuestra la diversidad de los ataques de Lazarus y su capacidad para emplear un amplio conjunto de herramientas contra las víctimas para llevar a cabo operaciones de espionaje a largo plazo.

«En particular, dado que el grupo de amenazas utiliza principalmente la técnica de carga lateral de DLL durante sus infiltraciones iniciales, las empresas deben monitorear proactivamente las relaciones anormales de ejecución de procesos y tomar medidas preventivas para evitar que el grupo de amenazas lleve a cabo actividades como la exfiltración de información y el movimiento lateral», dijo ASEC.

El Departamento del Tesoro de Estados Unidos sanciona a entidades norcoreanas#

Los hallazgos también se producen cuando el Departamento del Tesoro de Estados Unidos sancionó a cuatro entidades y un individuo involucrados en actividades cibernéticas maliciosas y esquemas de recaudación de fondos que apuntan a apoyar las prioridades estratégicas de Corea del Norte.

Esto incluye la Universidad de Automatización de Pyongyang, la Oficina de Reconocimiento Técnico y su unidad cibernética subordinada, el 110º Centro de Investigación, la Compañía de Cooperación de Tecnología de la Información Chinyong y un ciudadano norcoreano llamado Kim Sang Man.

Se cree que el Grupo Lazarus y sus diversos grupos son operados por la Oficina de Reconocimiento Técnico, que supervisa el desarrollo de tácticas y herramientas cibernéticas ofensivas de Corea del Norte.

Se sabe que la nación afectada por las sanciones, además de participar en operaciones de robo y espionaje de criptomonedasgenera ingresos ilícitos de una fuerza laboral de trabajadores de TI calificados que se hacen pasar por identidades ficticias para obtener empleos en los sectores de tecnología y moneda virtual en todo el mundo.

«La RPDC lleva a cabo actividades cibernéticas maliciosas y despliega trabajadores de tecnología de la información (TI) que obtienen empleo fraudulentamente para generar ingresos, incluso en moneda virtual, para apoyar al régimen de Kim y sus prioridades, como sus armas ilegales de destrucción masiva y programas de misiles balísticos», dijo el departamento.

«Estos trabajadores ofuscan deliberadamente sus identidades, ubicaciones y nacionalidades, generalmente utilizando personas falsas, cuentas de poder, identidades robadas y documentación falsificada o falsificada para solicitar empleos en estas compañías».

«Ganan cientos de millones de dólares al año al participar en una amplia gama de trabajos de desarrollo de TI, incluidas plataformas de trabajo independientes (sitios web / aplicaciones) y desarrollo de criptomonedas, después de obtener contratos de trabajo independientes de empresas de todo el mundo», advirtió el gobierno de Corea del Sur en diciembre de 2022.

Fuente: https://thehackernews.com

You may also like

Dejar Comentario

Click to listen highlighted text!