Группа Lazarus: новые тактики атак через веб-серверы

Группа Lazarus: новые тактики атак через веб-серверы

Аналитический центр безопасности Ahnlab (ASEC) представил отчет о значительной кибератаке, связанной с известной хакерской группой Lazarus. Специалисты ASEC выявили применение веб-серверов для создания инфраструктуры командования и контроля (C2), что снова подчеркивает опасность этой группы.

Развитие атак

Согласно отчету, недавние атаки, в том числе в мае 2024 года, были связаны с компрометацией веб-сервера Internet Information Services (IIS). Этот сервер был перепрофилирован в качестве исходного сервера C2, выступая в роли прокси-сервера для дальнейших систем C2. Основные моменты:

  • Использование webshells и скриптов C2, закодированных в ASP.
  • Связь с ранее задокументированными инцидентами, отмеченными Kaspersky.
  • Атака в январе 2025 года также указывает на продолжающуюся адаптацию тактики группы Lazarus.

Новые векторы и возможности

Недавно обнаруженный скрипт C2, схожий по функционалу с предыдущими версиями, претерпел изменения и теперь поддерживает данные Cookie, что значительно расширяет его коммуникационные возможности. Этот скрипт связан с вектором атаки, установленным в мае 2024 года, и использует следующие веб-оболочки:

  • Function2.asp
  • File_uPloader_ok.asp
  • Find_pwd.asp

Эти веб-оболочки позволяют злоумышленникам выполнять различные команды, включая запросы файлов, управление процессами и SQL-запросы.

Вредоносное ПО и его функции

В ходе атак было выявлено вредоносное ПО LazarLoader, предназначенное для работы в качестве загрузчика. Оно может извлекать полезную информацию как из внешних источников, так и локально на скомпрометированных устройствах. Процесс W3P.EXE веб-сервера IIS также используется в этой схеме. Основные характеристики LazarLoader:

  • Загрузку полезной нагрузки с жестко запрограммированными адресами.
  • Установку определенного типа бэкдора для осуществления дальнейших вредоносных действий.

Системные журналы подтвердили использование LazarLoader определенных аргументов, которые позволяют ему эксплуатировать известные уязвимости с помощью UACME (обход контроля учетных записей пользователей).

Заключение: необходимость повышения безопасности

Эта серия атак демонстрирует четкую методологию группы Lazarus, использующей недостаточно управляемые и непатченные веб-серверы для установки веб-оболочек и поддержки операций C2. В связи с этим, требуется:

  • Регулярное обновление систем.
  • Строгий контроль доступа.
  • Тщательный мониторинг уязвимостей при загрузке файлов.

Администраторам настоятельно рекомендуется провести оценку своих систем веб-безопасности и своевременно вносить исправления, чтобы защититься от тактики, применяемой APT, такой как Lazarus Group.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: