В ходе мониторинга деятельности атакующей группы Lazarus, Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) вновь подтвердил использование 0-day уязвимостей VestCert и TCO!Stream в дополнение к INISAFE CrossWeb EX и MagicLine4NX, которые ранее использовались для атак.
Злоумышленники используют метод "водяной скважины" для первоначального проникновения внутрь компании. Когда пользователь посещает определенный веб-сайт с вредоносным скриптом, внедренным с помощью веб-браузера на системе Windows с установленной уязвимой версией VestCert, PowerShell выполняется из-за уязвимости выполнения сторонних библиотек в ПО VestCert независимо от типа веб-браузера. Вместе они подключаются к серверу C2, загружают и выполняют вредоносный код. Затем Lazarus использует уязвимости TCO!Stream для распространения вредоносного кода с первоначальной системы-жертвы на внутренние системы.
Indicators of Compromise
URLs
- http://ksmarathon.com/admin/excel2.asp
- http://www.sinae.or.kr/sub01/index.asp
- https://swt-keystonevalve.com/data/content/cache/cache.php?mode=read
- https://www.bcdm.or.kr/board/type3_D/edit.asp
- https://www.coupontreezero.com/include/bottom.asp
- https://www.daehang.com/member/logout.asp
- https://www.gongsilbox.com/board/bbs.asp
- https://www.hmedical.co.kr/include/edit.php
- https://www.materic.or.kr/files/board/equip/equip_ok.asp
MD5
- 064d696a93a3790bd3a1b8b76baaeef3
- 55f0225d58585d60d486a3cc7eb93de5
- 67d306c163b38a06e98da5711e14c5a7
- 747177aad5aef020b82c6aeabe5b174f
- 8adeeb291b48c97db1816777432d97fd
- ba741fa4c7b4bb97165644c799e29c99
- c09b062841e2c4d46c2e5270182d4272
- e73eab80b75887d4e8dd6df33718e3a5
- e7c9bf8bf075487a2d91e0561b86d6f5
SHA1
- 3ca6abf845f3528edf58418e5e42a9c1788efe7a
- ec5d5941522d947abd6c9e82e615b46628a2155f