Η γνωστή ομάδα Lazarus, που βρίσκεται πίσω από πολλές κυβερνοεπιθέσεις ανά τον κόσμο την τελευταία δεκαετία, φέρεται να στοχεύει σε ευάλωτες εκδόσεις διακομιστών Microsoft Internet Information Services (IIS) με σκοπό την ανάπτυξη κακόβουλου λογισμικού σε στοχευμένα συστήματα.
Η καταγραφή των επιθέσεων αυτών προέκυψε από το AhnLab Security Emergency Response Center (ASEC), το οποίο περιγράφει λεπτομερώς τη συνεχιζόμενη κατάχρηση τεχνικών παράλληλης φόρτωσης DLL από την προηγμένη επίμονη απειλή (APT) για την ανάπτυξη κακόβουλου λογισμικού.
«Οι δράστες τοποθετούν ένα κακόβουλο DLL (msvcr100.dll) στην ίδια διαδρομή φακέλου με μια κανονική εφαρμογή (Wordconv.exe) μέσω της διεργασίας του διακομιστή ιστού Windows IIS, w3wp.exe», εξήγησε το ASEC αναφορικά με τον τρόπο που εκτελείται η επίθεση. «Στη συνέχεια, δίνουν εντολής εκτέλεσης της κανονικής εφαρμογής για να ξεκινήσουν την εκτέλεση του κακόβουλου DLL».
Η Lazarus, μια εξαιρετικά ικανή ομάδα hackers, εντοπίστηκε πρόσφατα να χρησιμοποιεί την ίδια τεχνική σε σχέση με την αλυσιδωτή επίθεση στην αλυσίδα εφοδιασμού στον πάροχο υπηρεσιών επικοινωνιών 3CX.
Η κακόβουλη βιβλιοθήκη msvcr100.dll, από την πλευρά της, έχει σχεδιαστεί για την αποκρυπτογράφηση ενός κωδικοποιημένου ωφέλιμου φορτίου, το οποίο στη συνέχεια εκτελείται στη μνήμη. Το κακόβουλο λογισμικό λέγεται ότι αποτελεί παραλλαγή ενός παρόμοιου τεχνουργήματος που ανακαλύφθηκε από την ASEC πέρυσι και το οποίο λειτουργούσε ως κερκόπορτα για την επικοινωνία με έναν ελεγχόμενο από τον δράστη διακομιστή.
Η αλυσίδα επίθεσης περιελάμβανε ακόμη την εκμετάλλευση ενός καταργημένου plugin ανοιχτού κώδικα του Notepad++ με την ονομασία Quick Color Picker για την παράδοση πρόσθετου κακόβουλου λογισμικού προκειμένου να διευκολυνθεί η κλοπή διαπιστευτηρίων.
Η τελευταία εξέλιξη καταδεικνύει την ποικιλομορφία των επιθέσεων Lazarus και την ικανότητα της ομάδας να χρησιμοποιεί ένα εκτεταμένο σύνολο εργαλείων κατά των θυμάτων για τη διεξαγωγή μακρόχρονων επιχειρήσεων κατασκοπείας.
«Ειδικότερα, δεδομένου ότι η ομάδα Lazarus χρησιμοποιεί κατά κύριο λόγο την τεχνική DLL side-loading κατά τη διάρκεια των αρχικών διεισδύσεων, οι εταιρείες θα πρέπει να παρακολουθούν προληπτικά τις μη φυσιολογικές σχέσεις εκτέλεσης διεργασιών και να λαμβάνουν προληπτικά μέτρα για να αποτρέψουν την ομάδα απειλών από την εκτέλεση δραστηριοτήτων, όπως η διαρροή πληροφοριών και η πλευρική μετακίνηση», δήλωσε η ASEC.
Τεύχος 291
