ASEC обнаружил, что группа Lazarus, которая считается финансируемой государством, атакует веб-серверы Windows Internet Information Service (IIS) и использует их в качестве точек распространения своего вредоносного ПО.
Известно, что для получения первоначального доступа группа использует технику "водяной ямы". Сначала группа взламывает корейские сайты и модифицирует предоставляемое с них содержимое. Когда система, использующая уязвимую версию INISAFE CrossWeb EX V6, посещает этот сайт через браузер, с сайта-распространителя через уязвимость INISAFECrossWebEXSvc.exe устанавливается вредоносная программа Lazarus (SCSKAppLink.dll).
Хотя уязвимость INITECH уже исправлена, атаки на системы, которые еще не были исправлены, продолжаются до сих пор. После того как группа Lazarus атакует веб-сервер IIS и получает над ним контроль, она использует его для распространения вредоносного ПО, используемого для атак на уязвимость INITECH. Если на системе установлена уязвимая версия INISAFE CrossWeb EX V3, ее необходимо удалить и обновить до последней версии, следуя приведенным ниже рекомендациям по обновлению системы безопасности.
Indicators of Compromise
MD5
- 280152dfeb6d3123789138c0a396f30d
- d0572a2dd4da042f1c64b542e24549d9