Kuzey Kore devlet destekli tehdit aktörü Lazarus Group, keşif kötü amaçlı yazılımını dağıtmak için yama uygulanmamış Windows IIS Web sunucularındaki bilinen güvenlik açıklarından yararlanarak devam eden casusluk kampanyasını yeniden icat etti.
AhnLab Security Response Center (ASEC) araştırmacıları, en son casusluk saldırılarının, ilk güvenlik ihlali sırasında Lazarus Group imzalı DLL yandan yükleme tekniğini kullandığını bildirdi.
ASEC araştırmacıları, “AhnLab Smart Defense (ASD) günlüğü … (gösterdi ki) Windows sunucu sistemleri saldırılar için hedefleniyor ve kötü niyetli davranışlar bir IIS Web sunucusu işlemi olan w3wp.exe aracılığıyla gerçekleştiriliyor.” “Bu nedenle, tehdit aktörünün daha sonra kötü niyetli komutlarını yürütmeden önce ilk ihlal yolları olarak kötü yönetilen veya savunmasız Web sunucularını kullandığı varsayılabilir.”
ASEC ekibinin tavsiyesine göre, istihbarat toplama kampanyası için ilk saldırı vektörleri arasında Log4Shell, genel sertifika güvenlik açıkları ve 3CX tedarik zinciri saldırısı gibi bilinen güvenlik açıklarına sahip yama uygulanmamış makineler yer alıyor.
“Özellikle, tehdit grubu ilk sızmaları sırasında öncelikle DLL yandan yükleme tekniğini kullandığından, şirketler anormal süreç yürütme ilişkilerini proaktif olarak izlemeli ve tehdit grubunun bilgi sızdırma ve yanal hareket gibi faaliyetler yürütmesini önlemek için önleyici tedbirler almalıdır.” the AhnLab raporu katma.