Οι διαβόητοι βορειοκορεάτες υποστηριζόμενοι από το κράτος χάκερ, γνωστοί ως Lazarus Group, στοχεύουν τώρα ευάλωτους διακομιστές ιστού των Windows Internet Information Services (IIS) για να αποκτήσουν αρχική πρόσβαση σε εταιρικά δίκτυα.
Ο Lazarus έχει κυρίως οικονομικά κίνητρα, με πολλούς αναλυτές να πιστεύουν ότι οι κακόβουλες δραστηριότητες των χάκερ βοηθούν στη χρηματοδότηση των προγραμμάτων ανάπτυξης όπλων της Βόρειας Κορέας. Ωστόσο, η ομάδα έχει επίσης εμπλακεί σε αρκετές επιχειρήσεις κατασκοπείας.
Η τελευταία τακτική στόχευσης διακομιστών των Windows IIS ανακαλύφθηκε από Νοτιοκορεάτες ερευνητές στο Κέντρο Αντιμετώπισης Έκτακτης Ανάγκης Ασφαλείας AhnLab.
Επιθέσεις σε διακομιστές IIS
Οι διακομιστές ιστού των Windows Internet Information Services (IIS) χρησιμοποιούνται από οργανισμούς όλων των μεγεθών για τη φιλοξενία περιεχομένου ιστού, όπως τοποθεσίες, εφαρμογές και υπηρεσίες, όπως το Outlook του Microsoft Exchange στο Web.
Είναι μια ευέλικτη λύση που είναι διαθέσιμη από την κυκλοφορία των Windows NT, υποστηρίζοντας τα πρωτόκολλα HTTP, HTTPS, FTP, FTPS, SMTP και NNTP.
Ωστόσο, εάν οι διακομιστές δεν διαχειρίζονται σωστά ή δεν είναι ενημερωμένοι, μπορούν να λειτουργήσουν ως σημεία εισόδου στο δίκτυο για τους χάκερ.
Προηγουμένως, η Symantec ανέφερε για ανάπτυξη κακόβουλου λογισμικού στις υπηρεσίες IIS που εκτελεί εντολές στα παραβιασμένα συστήματα μέσω αιτημάτων ιστού, αποφεύγοντας τον εντοπισμό από εργαλεία ασφαλείας.
Μια ξεχωριστή αναφορά αποκάλυψε ότι μια ομάδα hacking με το όνομα «Cranfly» χρησιμοποιούσε μια άγνωστη τεχνική ελέγχου κακόβουλου λογισμικού χρησιμοποιώντας αρχεία καταγραφής διακομιστή ιστού IIS.