سرورهای IIS هدف مهاجمان Lazarus
شرکت آنلب (AhnLab)، جزییات کارزاری را منتشر کرده که در جریان آن مهاجمان با سوءاستفاده از آسیبپذیریهای امنیتی یا پیکربندی ضعیف سرورهای IIS، اقدام به رخنه به شبکه قربانیان خود میکنند.
Internet Information Services – به اختصار IIS –، یک سرویسدهنده وب پرطرفدار است که بر روی سرورهای Windows بهسادگی قابل راهاندازی است.
ماهیت و ذات سرورهای وب اقتضا میکند که سرویسدهنده، بر روی اینترنت قابل دسترس باشد. به همین خاطر هر گونه پیکربندی ضعیف امنیتی و یا استفاده از نسخههای آسیبپذیر آن میتواند سرور میزبان و شبکه متصل به آن را در معرض نفوذ قرار دهد.
بر طبق گزارش آنلب، مهاجمان با تسخیر پروسه معتبر w3wp.exe بر روی این سرورها اقدام به کپی و فراخوانی چندین فایل مخرب بر روی آنها میکنند.
از جمله این فایلهای مخرب، میتوان به msvcr100.dll با درهمساز 228732b45ed1ca3cda2b2721f5f5667c اشاره کرد که در زمان انتشار این خبر، تنها توسط 9 ضدویروس از مجموع 70 ضدویروس فعال بر روی سایت VirusTotal قابل شناسایی است (تصویر زیر).
با فراهم شدن دسترسی به سرور، گردانندگان حمله تلاش میکنند تا با بکارگیری پودمان RDP و از طریق درگاه پیشفرض آن (3389) دامنه نفوذ خود را به سایر ماشینهای شبکه قربانی گسترش دهند.
به دلیل وجود برخی شباهتها میان کدهای استفاده شده در این حمله و بدافزارهای بکار رفته در حملات پیشین، اجرای این کارزار به گروه هکری Lazarus نسبت داده شده است.
مشروح گزارش آنلب، در لینک زیر قابل دریافت و مطالعه است:
