Home Ciberguerra Lazarus tiene como objetivo los servidores web Windows IIS para su acceso...

Lazarus tiene como objetivo los servidores web Windows IIS para su acceso inicial

Los conocidos piratas informáticos respaldados por el Estado norcoreano, conocidos como el Grupo Lazarus, están atacando servidores web Windows Internet Information Services (IIS) vulnerables para obtener acceso inicial a redes corporativas.

Lazarus tiene una motivación principalmente económica, y muchos analistas creen que las actividades maliciosas de los ciberdelincuentes ayudan a financiar los programas de desarrollo armamentístico de Corea del Norte. Sin embargo, el grupo también ha participado en varias operaciones de espionaje.

La última táctica, dirigida contra servidores Windows IIS, fue descubierta por investigadores surcoreanos del Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC).

Los servidores web Windows Internet Information Services (IIS) son utilizados por organizaciones de todos los tamaños para alojar contenidos web como sitios, aplicaciones y servicios, como Outlook en la Web de Microsoft Exchange.

Es una solución flexible que ha estado disponible desde el lanzamiento de Windows NT, compatible con los protocolos HTTP, HTTPS, FTP, FTPS, SMTP y NNTP.

Sin embargo, si los servidores están mal gestionados o anticuados, pueden actuar como puntos de entrada a la red para los piratas informáticos.

Anteriormente, Symantec informó sobre piratas informáticos que desplegaban malware en IIS para ejecutar comandos en los sistemas vulnerados a través de peticiones web, eludiendo la detección de las herramientas de seguridad.

En primer lugar, Lazarus accede a los servidores IIS utilizando vulnerabilidades conocidas o configuraciones erróneas que permiten a los autores de la amenaza crear archivos en el servidor IIS mediante el proceso w3wp.exe.

Los agresores colocan “Wordconv.exe”, un archivo legítimo que forma parte de Microsoft Office, una DLL maliciosa (“msvcr100.dll”) en la misma carpeta y un archivo codificado llamado “msvcr100.dat”.

Al iniciar ‘Wordconv.exe’, el código malicioso de la DLL se carga para descifrar el ejecutable codificado con Salsa20 de msvcr100.dat y ejecutarlo en la memoria, donde las herramientas antivirus no pueden detectarlo.

ASEC ha encontrado varias similitudes de código entre ‘msvcr100.dll’ y otro malware que observó el año pasado, ‘cylvc.dll’, que fue utilizado por Lazarus para desactivar programas antimalware mediante la técnica “bring your own vulnerable driver”.

Por tanto, ASEC considera que el archivo DLL recién descubierto es una nueva variante del mismo malware.

En la segunda fase del ataque, Lazarus crea un segundo malware (‘diagn.dll’) aprovechando un plugin de Notepad++.

Ese segundo malware recibe esta vez una nueva carga útil codificada con el algoritmo RC6, la descifra utilizando una clave codificada y la ejecuta en memoria para evadirla.

ASEC no pudo determinar qué hacía esta carga útil en el sistema infectado, pero observó indicios de volcado de LSASS que apuntaban a una actividad de robo de credenciales.

El último paso del ataque Lazarus consistía en realizar un reconocimiento de la red y un movimiento lateral a través del puerto 3389 (Escritorio remoto) utilizando credenciales de usuario válidas, presumiblemente robadas en el paso anterior.

Sin embargo, ASEC no ha descubierto ninguna otra actividad maliciosa después de que los atacantes se extendieran lateralmente por la red.

Como Lazarus se basa en gran medida en la carga lateral de DLL como parte de sus ataques, ASEC recomienda que las organizaciones vigilen la ejecución anormal de procesos.