Devlet destekli Kuzey Koreli Lazarus hacker grubu, Windows Internet Information Service (IIS) web sunucularını ele geçirip, bu sunucular üzerinden zararlı dağıtıyor.
Güney Koreli güvenlik analistleri ASEC tarafından tespit edilen saldırı, Lazarus’un IIS sunucularını kurumsal ağlara ilk erişim için kullandığını ortaya çıkardı.
Bu saldırı tekniğinin avantajı, güvenilir organizasyonlara ait ele geçirilmiş IIS sunucularında barındırılan web sitelerinin kullanıcıları kandırmak için kullanılması.
Güney Kore’deki Saldırılar
Güney Kore’deki birçok kamu ve özel organizasyon elektronik finansal işlemler, güvenlik sertifikasyonu, internet bankacılığı vb. için belirli yazılımı kullanıyor.
INISAFE güvenlik açığı daha önce hem Symantec hem de ASEC tarafından 2022 yılında tespit edilmişti ve o zaman HTML e-posta ekinde kullanıldığı açıklanmıştı.
Bu zafiyetin sömürülmesi, saldırıdan önce ele geçirilmiş olan bir IIS web sunucusundan zararlı ‘SCSKAppLink.dll’ payload’u dağıtmak için kullanılması ile başlar. Sonraki adımda, Lazarus ele geçirilen sisteme daha yüksek düzeyde erişim elde eder.
Microsoft uygulama sunucuları, yayın olarak kullanıldığından dolayı hackerlar için zararkı dağıtımında popüler hedefler haline geliyor.
Kaynak: bleepingcomputer.com
