Lazarus apunta a los servidores web Windows IIS para la distribución de malware

Los atacantes están utilizando la técnica del abrevadero para obtener acceso inicial pirateando sitios web coreanos y modificando el contenido.

• Lazarus emplea la técnica del abrevadero para obtener acceso inicial. Al comprometer los sitios web coreanos y modificar su contenido, explota la vulnerabilidad en INISAFE CrossWeb EX V6. 
• Cuando los usuarios con versiones vulnerables de INISAFE CrossWeb EX V6 visitan estos sitios, el malware Lazarus (SCSKAppLink.dll) se instala a través de la vulnerabilidad INISAFECrossWebEXSvc.exe.
• Para aumentar los privilegios y facilitar las actividades maliciosas, Lazarus implementa el malware JuicyPotato empaquetado con Themida . 
• Después de infiltrarse con éxito en los sistemas, los atacantes intentan instalar el malware «SCSKAppLink.dll» a través de estos exploits. Este malware actúa como un descargador que obtiene cepas de malware adicionales de fuentes externas, lo que permite a los atacantes obtener el control de los sistemas comprometidos.

Lo último sobre Lázaro

• La brecha de JumpCloud se atribuyó al grupo Lazarus APT. La brecha resultó en que JumpCloud restableciera las claves API de sus clientes y tomara medidas de precaución para proteger sus sistemas.
• En junio, se creía que Lazarus era responsable del reciente ataque a Atomic Wallet , que resultó en el robo de al menos $35 millones en criptomonedas.
• En abril, se descubrió un nuevo malware para macOS llamado RustBucket , que se cree que es utilizado por el grupo BlueNoroff vinculado a Corea del Norte. BlueNoroff es un subconjunto de Lazarus. 

Las actividades del grupo Lazarus dirigidas a los servidores web Windows IIS plantean riesgos significativos tanto para las organizaciones como para las personas. Como tal, es imperativo que las organizaciones adopten medidas estrictas, incluida la gestión de la superficie de ataque, para identificar los activos expuestos y aplicar continuamente los últimos parches de seguridad. Las prácticas de seguridad proactivas son cruciales para mitigar los riesgos que plantean tales actores de amenazas financiados por el estado.