Grup peretasan Lazarus yang disponsori negara Korea Utara melanggar server web Layanan Informasi Internet Windows (IIS) untuk membajak mereka untuk distribusi malware.
IIS adalah solusi server web Microsoft yang digunakan untuk menghosting situs web atau layanan aplikasi, seperti Microsoft Exchange’s Outlook di Web.
Analis keamanan Korea Selatan di ASEC sebelumnya melaporkan bahwa Lazarus menargetkan server IIS untuk akses awal ke jaringan perusahaan. Hari ini, perusahaan cybersecurity mengatakan bahwa kelompok ancaman memanfaatkan layanan IIS yang kurang terlindungi untuk distribusi malware juga.
Keuntungan utama dari teknik ini adalah kemudahan menginfeksi pengunjung situs web atau pengguna layanan yang dihosting di server IIS yang dilanggar milik organisasi tepercaya.
Serangan ke Korea Selatan
Dalam serangan baru-baru ini yang diamati oleh analis ASEC, Lazarus mengkompromikan situs resmi Korea Selatan untuk melakukan serangan ‘Watering Hole’ pada pengunjung yang menggunakan versi rentan dari perangkat lunak INISAFE CrossWeb EX V6.
Banyak organisasi publik dan swasta di Korea Selatan menggunakan perangkat lunak khusus ini untuk transaksi keuangan elektronik, sertifikasi keamanan, perbankan internet, dll.
Kerentanan INISAFE sebelumnya didokumentasikan oleh keduanya Symantec Dan ASEC pada tahun 2022, menjelaskan bahwa itu dieksploitasi menggunakan lampiran email HTML pada saat itu.
“Serangan tipikal dimulai ketika file HTM jahat diterima, kemungkinan sebagai tautan berbahaya dalam email atau diunduh dari web. File HTM disalin ke file DLL bernama scskapplink.dll dan disuntikkan ke dalam perangkat lunak manajemen sistem resmi INISAFE Web EX Client,” jelas laporan 2022 oleh Symantec.
Mengeksploitasi kelemahan mengambil muatan ‘SCSKAppLink.dll’ berbahaya dari server web IIS yang sudah disusupi sebelum serangan untuk digunakan sebagai server distribusi malware.
“URL unduhan untuk ‘SCSKAppLink.dll’ diidentifikasi sebagai server web IIS yang disebutkan di atas,” jelas laporan baru ASEC.
“Ini menandakan bahwa pelaku ancaman menyerang dan menguasai server web IIS sebelum menggunakannya sebagai server untuk mendistribusikan malware.”
ASEC tidak menganalisis muatan tertentu tetapi mengatakan kemungkinan pengunduh malware terlihat di kampanye Lazarus baru-baru ini.
Selanjutnya, Lazarus menggunakan malware eskalasi hak istimewa ‘JuicyPotato’ (‘usopriv.exe’) untuk mendapatkan akses tingkat yang lebih tinggi ke sistem yang disusupi.
JuicyPotato digunakan untuk mengeksekusi pemuat malware kedua (‘usoshared.dat’) yang mendekripsi file data yang diunduh dan mengeksekusinya ke dalam memori untuk penghindaran AV.
ASEC merekomendasikan agar pengguna NISAFE CrossWeb EX V6 memperbarui perangkat lunak ke versi terbarunya, karena eksploitasi Lazarus terhadap kerentanan yang diketahui dalam produk telah berlangsung setidaknya sejak April 2022.
Perusahaan keamanan menyarankan pengguna untuk meningkatkan ke versi 3.3.2.41 atau lebih baru dan menunjuk ke instruksi perbaikan itu diposting empat bulan lalu, menyoroti ancaman Lazarus.
Server aplikasi Microsoft menjadi target populer bagi peretas untuk digunakan dalam distribusi malware, kemungkinan besar karena sifatnya yang tepercaya.
Baru minggu lalu, CERT-UA dan Microsoft melaporkan bahwa peretas Turla Rusia menggunakan server Microsoft Exchange yang telah disusupi untuk mengirimkan pintu belakang ke target mereka.
