Istraživači su identifikovali niz sofisticiranih napada zloglasne Lazarus grupe koji su ciljali južnokorejske web servere.
Akteri pretnje provaljuju IIS servere da bi postavili veb ljuske zasnovane na ASP-u, koje se kasnije koriste kao komandni i kontrolni (C2) serveri prve faze koji proksiju komunikaciju sa infrastrukturom C2 druge faze .
Ovi napadi, identifikovani u januaru 2025., predstavljaju evoluciju sličnih tehnika uočenih u maju 2024., signalizirajući uporne i prilagodljive taktike ove grupe prijetnji koju sponzoriše država.
Lazarus grupa je pokazala dosljedan obrazac kompromitiranja legitimnih web servera kako bi uspostavila svoju infrastrukturu napada.
AhnLab Security Intelligence Center (ASEC) izvještava da su u nedavno otkrivenim kampanjama napadači instalirali više web shell ASP formata na ranjive IIS servere, uključujući modifikovani web shell “RedHat Hacker” sačuvanu pod imenom datoteke “function2.asp”.
Za razliku od prethodnih iteracija koje su koristile lozinku “1234qwer”, najnovija varijanta koristi “2345rdx” kao mehanizam za autentifikaciju, što ukazuje na evoluciju u njihovim operativnim sigurnosnim mjerama.
Dodatne web shell-ovi pod nazivom “file_uploader_ok.asp” i “find_pwd.asp” su također bili raspoređeni, pružajući napadačima sveobuhvatne mogućnosti za manipulaciju datotekama, procesne operacije, pa čak i izvršavanje SQL upita.
Ove web shell-ove koriste sofisticirane tehnike zamagljivanja, ostajući kodirani u VBE formatu čak i nakon početnog dekodiranja, čineći otkrivanje i analizu izazovnim za sigurnosne timove.
Funkcionalnost i evolucija C2 skripte
C2 skripta primenjena u napadima u januaru 2025. funkcioniše kao proxy između kompromitovanih sistema i infrastrukture napadača.
Za razliku od prethodnih varijanti, nova skripta podržava i podatke obrasca i podatke kolačića tokom procesa komunikacije, demonstrirajući kontinuirano usavršavanje svojih alata grupe.
Skripta obrađuje različite naredbe ovisno o vrijednosti polja “kod” u podacima obrasca.
Komande uključuju “MidRequest” za preusmjeravanje podataka, “ProxyCheck” za čuvanje Mid Info, “ReadFile” i “WriteFile” za operacije datoteka, “ClientHello” za odgovor sa Mid Info i druge koje olakšavaju napadačima kontrolu nad kompromitovanim sistemom.
Osim web shell-a, napadači su postavili LazarLoader malver za preuzimanje dodatnih korisnih podataka. Ovaj sofisticirani učitavač dešifruje i izvršava korisne podatke u memoriji koristeći 16-bajtni ključ identifikovan kao “Node.Js_NpmStart”.
Lanac infekcije obično počinje instalacijom web shell-a i postavljanjem LazarLoader-a kroz proces w3wp.exe IIS web servera .
Napadači su implementirali eskalaciju privilegija putem komponente malicioznog softvera pod nazivom “sup.etl”, koja funkcioniše kao packer za UAC tehnike zaobilaženja.
Maliciozni softver koristi komande poput “rundll32.exe C:\ProgramData\USOShared\sup.etl,SerializeMarketTable_32 x9nsB3iYUWiDT6BZKO5pgtMW -v 62 -m D:/www/[path]/ac_lst.exe.” za izvršavanje privilecije
Parametar “-v 62” ukazuje na eksploataciju “ComputerDefaults.exe” za UAC zaobilaznicu, dok bi druge vrijednosti pokrenule korištenje “fodhelper.exe
Izvor: CyberSecurityNews