I ricercatori di ASEC hanno scoperto che il gruppo Lazarus utilizza i server web con Microsoft IIS (Internet Information Service) per distribuire malware. Il principale vantaggio di questa tecnica è rappresentato dalla facilità con cui vengono infettati i visitatori dei siti o gli utenti dei servizi ospitati sui server IIS.
Server IIS per distribuire malware
Il gruppo Lazarus aveva finora sfruttato vulnerabilità o errori di configurazione dei server IIS per accedere alle reti aziendali. I cybercriminali nordcoreani hanno recentemente utilizzato i server IIS per distribuire il malware JuicyPotato.
L’attacco inizia con l’invio di un’email che contiene il link ad un file HTM. In realtà si tratta del file scskapplink.dll
che viene iniettato nella versione vulnerabile del software INISAFE CrossWeb EX V6. La DLL viene scaricata da un server IIS, quindi i cybercriminali hanno preso il controllo del server, successivamente usato per distribuire il malware.
La DLL è un downloader che scarica JuicePotato, con il quale viene effettuato l’escalation dei privilegi. Il gruppo Lazarus prende quindi il controllo del sistema per eseguire altre attività illecite, tra cui l’esecuzione di comandi remoti, l’installazione di backdoor per la persistenza e il furto dei dati.
Gli utenti dovrebbero aggiornare il software INISAFE CrossWeb EX V6 all’ultima versione. Gli amministratori dei server IIS dovrebbero invece implementare tutte le misure necessarie per evitare intrusioni non autorizzate. Molti cybercriminali sfruttano server esistenti per risparmiare i costi dell’infrastruttura. Il gruppo Turla ha recentemente usato i server Microsoft Exchange per distribuire una backdoor.