Lazarus 攻击组织加强对 Microsoft IIS 伺服器的攻击

重点提炼

Lazarus 攻击组织加大了对脆弱 Microsoft Internet Information Services (IIS) 的攻击力度，不仅作为目标组织的进入点，也用于扩散恶意软体。最近的研究显示，Lazarus 已经针对南韩网站发起攻击，利用 IIS 伺服器作为恶意软体的分发点。建议组织立即卸载使用中老旧的 INISAFE CrossWeb EX V3 版本并进行升级，以防范这类攻击。

Lazarus 攻击组织已加强了对 Microsoft IIS 的攻击，这些攻击不仅是对目标组织的侵入，还用以扩散恶意软体。这个被认为与北韩政府有关的高级持续威胁组织已经被观察到针对 Microsoft 资源进行攻击。

根据 AhnLab 安全紧急应变中心ASEC在其博客文章中发表的研究，该组织近期观察到 Lazarus 在南韩网站的攻击行为，这些网站的 IIS 伺服器被用作恶意软体的分发点。

“Lazarus 攻击组织在攻击 IIS 网页伺服器并获得控制后，会利用该伺服器来分发用于 INITECH 漏洞攻击的恶意软体，”研究人员表示。

INITECH 是一家企业软体供应商，ASEC 曾经观察到 Lazarus 利用其 INISAFE CrossWeb EX V3 系统管理解决方案中的漏洞，向目标系统注入 DLL 档案。ASEC 的研究人员提到，最近的攻击行为也如同 Lazarus 以往对 IIS 的攻击一样，使用 IIS 工作进程 w3wwpexe 部署该组织的恶意软体。

攻击组织针对目标使用技术LazarusIIS 伺服器w3wwpexe 部署恶意软体

虽然尚未分析最新的有效载荷，但根据 Lazarus 过去的战术，研究人员指出：“最终执行的恶意软体主要是下载器，下载其他类型的恶意软体或后门，这些后门能接收威胁行为者的命令以执行恶意行为。”

ASEC 的日志显示，针对使用旧版、未修补版本的 INISAFE CrossWeb EX 的系统，持续有 INISAFE 漏洞攻击发生。“在这些攻击后，威胁行为者尝试通过 INISAFE 漏洞攻击安装额外的恶意软体 ‘SCSKAppLinkdll’ 到受感染系统中，”ASEC 研究人员表示。

“‘SCSKAppLinkdll’ 的下载 URL 被确定为上述的 IIS 网页伺服器。这表明，威胁行为者在攻击并获得 IIS 伺服器的控制权后，利用这些伺服器进行恶意软体的分发。”

海鸥加速器下载官网

他们表示，SCSKAppLinkdll 先前被识别为一种下载并执行来自外部源的额外恶意软体的恶意程序。“它能在系统中安装由攻击者指定的恶意软体以获得控制。”

ASEC 建议使用脆弱版本的 INISAFE CrossWeb EX V3 的组织立即卸载该版本并升级到最新版本，以保护系统免受此类攻击。