拉萨鲁斯小组袭击易受攻击的Windows IIS Web服务器

已知用于入侵Microsoft Web服务器的途径。
拉萨鲁斯小组袭击易受攻击的Windows IIS Web服务器

朝鲜支持的Lazarus Group威胁行为者已通过利用未打补丁的Windows IIS Web服务器中已知的漏洞来重新设计其持续的间谍活动,以部署其侦察恶意软件。

安全响应中心(ASEC)的研究人员报告称,最新一轮的间谍袭击在初始入侵过程中使用了Lazarus Group标志性的DLL侧载技术。

“安全响应中心的智能防御(ASD)日志…(显示)Windows服务器系统成为攻击目标,恶意行为是通过w3wp.exe,即IIS Web服务器进程执行的,” ASEC的研究人员解释道。”因此,可以假定威胁行为者在执行其恶意命令之前,使用管理不善或易受攻击的Web服务器作为其初始入侵途径。”

情报收集活动的初始攻击向量包括未打补丁的计算机,存在已知漏洞,如Log4Shell,公共证书漏洞和3CX供应链攻击,ASEC团队建议。

“特别是,由于该威胁组织主要在其初始渗透中使用DLL侧载技术,公司应积极监视异常的进程执行关系,并采取预防措施,以防止威胁组织执行信息泄露和横向移动等活动,” 安全响应中心的报告补充道。

推荐阅读:

市场繁荣:暗网上的便宜货为新手网络犯罪分子提供了快速起步机会

暗网资源的概念和特点

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20