内存安全周报第147期 | APT组织Lazarus针对Windows IIS Web服务器分发恶意软件
一、APT组织Lazarus针对Windows IIS Web服务器分发恶意软件 (7.25)
近日,APT组织Lazarus发起了对Windows Internet Information Service(IIS)Web服务器的攻击,并利用这些服务器传播恶意软件。攻击者利用“水坑”策略,获取服务器的初始访问权限,入侵韩国网站并篡改其内容。
详细情况
Lazarus利用“水坑攻击”获取了初始访问权限,通过利用INISAFE CrossWeb EX V6的漏洞入侵韩国网站,纂改网站内容。用户使用易受攻击的INISAFE CrossWeb EX V6版本访问这些网站时,Lazarus便会利用INISAFECrossWebEXSvc.exe漏洞安装恶意软件(SCSKAppLink.dll)。为了提升权限并实施恶意攻击活动,攻击者还部署了由Themida打包的JuicyPotato恶意软件。一旦成功渗透系统,攻击者会尝试利用漏洞安装“SCSKAppLink.dll”恶意软件,该软件相当于下载器,从外部来源获取多种恶意软件,从而使攻击者控制被感染系统。
最新动态显示,APT组织Lazarus的活动异常活跃并具有严重破坏性。据了解,今年4月,研究人员发现一种名为RustBucket的新型macOS恶意软件,该软件被Lazarus的附属组织BlueNoroff利用,并展开网络攻击活动。另外,今年6月,Lazarus还对Atomic Wallet进行了攻击,导致至少3500万美元的加密货币被窃,造成了巨大的经济损失。
防护建议:
Lazarus对Windows IIS Web服务器发起的攻击对组织和个人都构成重大威胁。因此,组织必须采取攻击面管理等严密的防范措施,以及时识别暴露的资产。此外,组织还需应用最新的安全补丁。
参考链接
二、新型恶意软件Decoy Dog对企业网络构成严重威胁(7.26)
新型恶意软件“Decoy Dog”是开源远程访问木马“Pupy RAT”的全新升级版本,对企业网络构成严重威胁。
详细情况
Decoy Dog拥有一系列强大功能,可以将受害者转移到另一个控制器,使攻击者与被感染设备保持通信并长期隐藏通信状态。
此外,该恶意软件还具备其他新功能,比如允许其在客户端上执行任意Java代码,并使用类似传统DNS域名生成算法(DGA)机制,并连接到紧急控制器。通过这种方式,Decoy Dog的域名能够对受攻击客户端的DNS查询做出响应。该恶意软件也新增了Pupy中缺少的功能,包括向感染设备发送指令,命令其停止与当前控制器通信,并开始与另一个控制器建立联系。
今年4月,研究人员首次发现了这个复杂工具包。异常的DNS信标活动表明Decoy Dog对企业网络进行了高度有针对性的攻击。
目前,尚不明确Decoy Dog的来源,但专家怀疑背后可能由几个黑客组织联合操作,他们采用独特策略,对匹配客户端通信结构的入站请求做出响应。Decoy Dog利用域名系统(DNS)进行命令与控制(C2)。被感染终端通过DNS查询和IP地址响应与控制器(即服务器)进行通信,并接收指令。
据了解,早期Decoy Dog事件披露后,攻击者迅速调整了攻击基础设施,关闭了一些DNS服务器,并注册了新的替代域名以维持远程持久性。
由于无法深入了解受感染系统及攻击者利用的漏洞,研究人员指出Decoy Dog对企业网络构成严重威胁,建议企业采用DNS防御措施以应对此类攻击。
参考链接
