سرورهای IIS هدف مهاجمان Lazarus

شرکت آن‌لب (AhnLab)، جزییات کارزاری را منتشر کرده که در جریان آن مهاجمان با سوءاستفاده از آسیب‌پذیری‌های امنیتی یا پیکربندی ضعیف سرورهای IIS، اقدام به رخنه به شبکه قربانیان خود می‌کنند.

Internet Information Services – به اختصار IIS –، یک سرویس‌دهنده وب پرطرفدار است که بر روی سرورهای Windows به‌سادگی قابل راه‌اندازی است.

ماهیت و ذات سرورهای وب اقتضا می‌کند که سرویس‌دهنده، بر روی اینترنت قابل دسترس باشد. به همین خاطر هر گونه پیکربندی ضعیف امنیتی و یا استفاده از نسخه‌های آسیب‌پذیر آن می‌تواند سرور میزبان و شبکه متصل به آن را در معرض نفوذ قرار دهد.

بر طبق گزارش آن‌لب، مهاجمان با تسخیر پروسه معتبر w3wp.exe بر روی این سرورها اقدام به کپی و فراخوانی چندین فایل مخرب بر روی آنها می‌کنند.

از جمله این فایل‌های مخرب، می‌توان به msvcr100.dll با درهم‌ساز 228732b45ed1ca3cda2b2721f5f5667c اشاره کرد که در زمان انتشار این خبر، تنها توسط 9 ضدویروس از مجموع 70 ضدویروس فعال بر روی سایت VirusTotal قابل شناسایی است (تصویر زیر).

 

 

با فراهم شدن دسترسی به سرور، گردانندگان حمله تلاش می‌کنند تا با بکارگیری پودمان RDP و از طریق درگاه پیش‌فرض آن (3389) دامنه نفوذ خود را به سایر ماشین‌های شبکه قربانی گسترش دهند.

به دلیل وجود برخی شباهت‌ها میان کدهای استفاده شده در این حمله و بدافزارهای بکار رفته در حملات پیشین، اجرای این کارزار به گروه هکری Lazarus نسبت داده شده است.

مشروح گزارش آن‌لب، در لینک زیر قابل دریافت و مطالعه است:

https://asec.ahnlab.com/en/53132/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *