Tehdit aktörleri, yasa dışı erişim elde etmek ve amaçlarına ulaşmak için kötü niyetli faaliyetler gerçekleştirmek için her zaman savunmasız cihazları ve ağları arar.
APT grubu Lazarus, Microsoft Internet Information Services (IIS) sunucularını aktif olarak hedefleyen bir ilk ihlal yolu olarak.
AhnLab Güvenlik Acil Durum Müdahale Merkezi’ndeki (ASEC) siber güvenlik araştırmacıları, yakın zamanda Lazarus grubunun operatörlerinin, savunmasız Windows sunucularını kötü amaçlı kod dağıtım sunucusu olarak kullanmak üzere hedeflediklerini doğruladı.
Lazarus grubu, sulama deliği saldırıları kullanır, yerel web sitelerini manipüle eder ve kötü amaçlı yazılım dağıtımı için INISAFE CrossWeb EX V6 güvenlik açıklarından yararlanır.
Yamalı INITECH güvenlik açığına rağmen, kötü amaçlı yazılımın dağıtımı için güvenliği ihlal edilmiş IIS sunucularından yararlanan son istismarlar devam ediyor.
Lazarus’un IIS sunucusuna saldırmak
Lazarus’un IIS sunucusuna saldırısı Mayıs 2023’te vurgulandı ve güvenli olmayan web sunucularının kötüye kullanıldığını ve RDP aracılığıyla yanal hareket girişimini ortaya çıkardı.
Saldırganlar, bir IIS web sunucusu işlemi olan w3wp.exe tarafından gerçekleştirilen yetkisiz eylemler için eşleşen güvenlik açıklarından yararlanarak, web kabukları yükleyerek veya kötü amaçlı komutlar yürüterek savunmasız web sunucularından yararlanır.
IIS web sunucusu işlemi sırasında, w3wp(.)exe, birden çok Potato tabanlı kötü amaçlı koddan biri olan, ayrıcalık yükseltmeden sorumlu Themida ile dolu bir JuicyPotato kötü amaçlı yazılımı olan usopriv.exe’yi ortaya çıkarır.
Saldırgan kontrollü web kabukları veya sözlük saldırıları, w3wp.exe içinde istenen kötü amaçlı eylemleri yürütmek için yeterli ayrıcalıklara sahip değildir ve MS-SQL sunucusunun sqlservr.exe işlemi için benzer sınırlamalar geçerlidir.
Ancak tehdit aktörleri, bu engeli aşmak için sıklıkla ayrıcalık yükseltme kötü amaçlı yazılımlarını kullanır. Aşağıda, JuicyPotato kullanarak tehdit aktörleri tarafından yürütülen tüm komutlardan bahsetmiştik:-
%SystemRoot%\system32\cmd.exe /c whoami > c:\programdata
%SystemRoot%\system32\cmd.exe /c whoami > c:\programdata
%SystemRoot%\system32\cmd.exe /c whoami > c:\programdata\nueio.txt
%SystemRoot%\system32\cmd.exe /c rundll32 c:\programdata\usoshered.dat ,usoprivfunc 4729858204985024133
%SystemRoot%\system32\cmd.exe /c del c:\programdata\nueio.txt
%SystemRoot%\system32\cmd.exe /c whoami > c:\users\%ASD%\desktop\ngc\test.txt
Saldırgan, DLL biçimli yükü yürütmek için rundll32’yi rastgele bir dize bağımsız değişkeniyle kullanarak Loader kötü amaçlı yazılımını yürütmek için JuicyPotato’yu kullandı.
Yükleyici, ‘{20D1BF68-64EE-489D-9229-95FEFE5F12A4}’ dosyasını elde etmek için veri dosyası adının kodunu çözerek birden çok yoldaki varlığını doğrular.
İlgili yoldaki güvenli olmayan bir dosya, Loader kötü amaçlı yazılımını doğrular, kodlanmış veri dosyasının şifresini çözer ve bellekte yürütür.
Lazarus grubu, Loader kötü amaçlı yazılımını şifrelenmiş veri dosyalarıyla birleştirir, bunların kodunu çözer ve bellekte yürütür.
Belirli veri dosyaları doğrulanmamış olsa da, geçmiş vakalar, yürütülen son kötü amaçlı yazılımın genellikle bir indirici veya arka kapı olduğunu gösterir.
Saldırgan, indirme kaynağı olarak hizmet veren IIS web sunucusuyla ek kötü amaçlı kod olarak “SCSKAppLink.dll” yüklemek için INISAFE güvenlik açığından yararlandı.
Onaylanmamış olsa da “SCSKAppLink.dll”, Lazarus Attack Group’un INITECH sürecinden yararlanan, bir indirici işlevi gören ve belirtilen kötü amaçlı yazılımın yüklenmesi yoluyla uzaktan kontrol sağlayan önceki kötü amaçlı koduna benziyor.
Lazarus, birkaç tür gizli saldırı vektörü kullanan oldukça gelişmiş APT gruplarından biridir.
Güvenlik analistleri, kullanıcıları uyanık kalmaya ve güncel bir yama yönetim sistemi kurmaya çağırdı.
IOC
MD5
– 280152dfeb6d3123789138c0a396f30d : JuicyPotato (usopriv.exe)
– d0572a2dd4da042f1c64b542e24549d9 : Loader (usoshered.dat)