Группа Lazarus: новые тактики атак через веб-серверы

Аналитический центр безопасности Ahnlab (ASEC) представил отчет о значительной кибератаке, связанной с известной хакерской группой Lazarus. Специалисты ASEC выявили применение веб-серверов для создания инфраструктуры командования и контроля (C2), что снова подчеркивает опасность этой группы.
Развитие атак
Согласно отчету, недавние атаки, в том числе в мае 2024 года, были связаны с компрометацией веб-сервера Internet Information Services (IIS). Этот сервер был перепрофилирован в качестве исходного сервера C2, выступая в роли прокси-сервера для дальнейших систем C2. Основные моменты:
- Использование webshells и скриптов C2, закодированных в ASP.
- Связь с ранее задокументированными инцидентами, отмеченными Kaspersky.
- Атака в январе 2025 года также указывает на продолжающуюся адаптацию тактики группы Lazarus.
Новые векторы и возможности
Недавно обнаруженный скрипт C2, схожий по функционалу с предыдущими версиями, претерпел изменения и теперь поддерживает данные Cookie, что значительно расширяет его коммуникационные возможности. Этот скрипт связан с вектором атаки, установленным в мае 2024 года, и использует следующие веб-оболочки:
- Function2.asp
- File_uPloader_ok.asp
- Find_pwd.asp
Эти веб-оболочки позволяют злоумышленникам выполнять различные команды, включая запросы файлов, управление процессами и SQL-запросы.
Вредоносное ПО и его функции
В ходе атак было выявлено вредоносное ПО LazarLoader, предназначенное для работы в качестве загрузчика. Оно может извлекать полезную информацию как из внешних источников, так и локально на скомпрометированных устройствах. Процесс W3P.EXE веб-сервера IIS также используется в этой схеме. Основные характеристики LazarLoader:
- Загрузку полезной нагрузки с жестко запрограммированными адресами.
- Установку определенного типа бэкдора для осуществления дальнейших вредоносных действий.
Системные журналы подтвердили использование LazarLoader определенных аргументов, которые позволяют ему эксплуатировать известные уязвимости с помощью UACME (обход контроля учетных записей пользователей).
Заключение: необходимость повышения безопасности
Эта серия атак демонстрирует четкую методологию группы Lazarus, использующей недостаточно управляемые и непатченные веб-серверы для установки веб-оболочек и поддержки операций C2. В связи с этим, требуется:
- Регулярное обновление систем.
- Строгий контроль доступа.
- Тщательный мониторинг уязвимостей при загрузке файлов.
Администраторам настоятельно рекомендуется провести оценку своих систем веб-безопасности и своевременно вносить исправления, чтобы защититься от тактики, применяемой APT, такой как Lazarus Group.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



