Il temuto attore Lazarus Group ha preso di mira versioni vulnerabili dei server Microsoft Internet Information Services (IIS) per infiltrare i sistemi e diffondere malware. Queste scoperte emergono da un rapporto dell’AhnLab Security Emergency response Center (ASEC), che ha analizzato l’abuso continuo delle tecniche di DLL side-loading da parte dell’Advanced Persistent Threat (APT) per diffondere malware.
Metodo d’attacco
“L’attore minaccioso posiziona una DLL malevola (msvcr100.dll) nello stesso percorso di una normale applicazione (Wordconv.exe) tramite il processo del server web Windows IIS, w3wp.exe”, ha spiegato l’ASEC. “Poi esegue l’applicazione normale per avviare l’esecuzione della DLL malevola”. Il DLL side-loading, simile al DLL search-order hijacking, si riferisce all’esecuzione proxy di una DLL rogue tramite un binario benigno posizionato nella stessa directory.
Lazarus, un gruppo nazionale altamente capace e implacabile legato alla Corea del Nord, è stato recentemente individuato nell’uso della stessa tecnica in relazione all’attacco a cascata alla catena di fornitura al provider di servizi di comunicazione aziendale 3CX.
La libreria maliziosa msvcr100.dll, per sua parte, è progettata per decrittografare un payload codificato che viene poi eseguito in memoria. Si dice che il malware sia una variante di un artefatto simile scoperto dall’ASEC lo scorso anno e che agiva come backdoor per comunicare con un server controllato dall’attore.
Sanzioni del Dipartimento del Tesoro degli Stati Uniti
Le scoperte emergono anche mentre il Dipartimento del Tesoro degli Stati Uniti ha sanzionato quattro entità e un individuo coinvolti in attività cibernetiche malevole e schemi di raccolta fondi che mirano a sostenere le priorità strategiche della Corea del Nord. Questi includono l’Università di Automazione di Pyongyang, il Bureau di Ricognizione Tecnica e la sua unità cybernetica subordinata, il 110th Research Center, la Chinyong Information Technology Cooperation Company e un cittadino nordcoreano di nome Kim Sang Man.
Il Gruppo Lazarus e i suoi vari cluster sono ritenuti operati dal Bureau di Ricognizione Tecnica, che supervisiona lo sviluppo della Corea del Nord di tattiche e strumenti cyber offensivi. La nazione sanzionata, oltre a impegnarsi nel furto di criptovalute e nelle operazioni di spionaggio, è nota per generare entrate illecite da una forza lavoro di lavoratori IT qualificati che si fingono sotto identità fittizie per ottenere lavori nei settori della tecnologia e della valuta virtuale in tutto il mondo.