Главная страница » IOC
0
2 дня
IOC

Анализ атак группы Lazarus на веб-серверы Windows

security

Аналитический центр AhnLab SEcurity (ASEC) обнаружил серию атак, проводимых группой Lazarus на веб-серверы Windows, где эта группа взламывает серверы и использует их в качестве контрольных серверов (C2). Атаки включают использование веб-оболочки и скриптов C2, а также интересные методы использования вредоносного ПО LazarLoader и средств повышения привилегий для достижения своих целей.

Lazarus APT

Проанализировав два инцидента атаки в 2024 и 2025 годах, ASEC обнаружил, что группа Lazarus использовала обычные веб-серверы в качестве C2-серверов первого этапа. Эти серверы действовали как прокси для связи с C2-серверами следующих этапов. Использование веб-оболочки ASP и скриптов C2, которые были замечены в этих атаках, было схожим с предыдущими инцидентами, раскрытыми другими исследователями безопасности. Однако новые скрипты C2 поддерживают передачу данных через куки, что является отличием от предыдущих атак.

Веб-оболочка, названная RedHat Hacker, была использована в обоих инцидентах, и во втором случае пароль для доступа к ней был изменен. Все веб-оболочки и скрипты C2 обфусцированы и имеют зашифрованный формат VBE. Они поддерживают различные функции, такие как операции с файлами и процессами, а также SQL-запросы. Они способны работать с данными в формате JSON и поддерживают команды для проверки информации о системе, выполнения команд и операций с файлами.

Кроме веб-оболочки и скриптов C2, были обнаружены также вредоносная программа LazarLoader и инструмент для повышения привилегий. LazarLoader является вредоносным загрузчиком, который загружает и выполняет полезные нагрузки из внешних источников или из файлов и реестра, хранящихся в системе. Инструмент для повышения привилегий отвечает за обход UAC (User Account Control).

Эти атаки группы Lazarus на веб-серверы Windows подчеркивают их после пользующиеся сложные и разнообразные методы для достижения своих целей.

Indicators of Compromise

MD5

  • 0620fa617bc9ef32b93adcf40fe291a4
  • 0734a2c3e827ccf558daf48290d06d8c
  • 41ffc15c24259156db000af297c71703
  • 89921e5f39407a5e63df013468181991
  • adabf920682fac1e6a81e655b1182590
Комментарии: 0
Похожие записи
0
20 часов
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
20 часов
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает
0
2 дня
IOC

Тенденции в области фишинговых писем в феврале 2025 года

phishing
Наиболее распространенной угрозой среди вложений фишинговых писем был фишинг, при котором использовались скрипты, чтобы подделать страницы входа в систему и привлечь пользователей к вводу своих учетных данных.