北朝鮮のハッカー Lazarus:Microsoft IIS Server を乗っ取ってマルウェアを配布

Lazarus hackers hijack Microsoft IIS servers to spread malware

2023/07/24 BleepingComputer — 北朝鮮の国家支援のハッカー・グループである Lazarus が、Windows IIS (Internet Information Service) Web サーバを乗っ取り、マルウェアを配布していることが明らかになった。Microsoft の Web Server ソリューションである IIS は、Web サイトや Microsoft Exchange Outlook Web などのアプリケーション・サービスをホストするために使用されるものだ。

2023年5月頃に、韓国企業である ASEC のセキュリティ・アナリストたちが、Lazarus が企業ネットワークへのイニシャル・アクセス獲得のために、IIS サーバを狙っていると報告していた。そして同社は、7月24日に、この脅威グループはセキュリティが不十分な IIS サービスを、マルウェアの配布にも悪用していると発表した。


この手口の主な利点は、信頼性の高い組織が保有する侵害済の IIS サーバ上でホストされる、Web サイトの訪問者や、サービスの利用者を、簡単に感染させられる点だ。

韓国への攻撃

ASEC アナリストたちの最新調査では、Lazarus が韓国の正規の Web サイトを侵害し、INISAFE CrossWeb EX V6 の脆弱なバージョンを悪用し、訪問者にウォータリング・ホールを仕掛ける攻撃が発見されている。

この悪用されたソフトウェアは、韓国の多くの公的/民間組織は、電子金融取引/セキュリティ認証/インターネット・バンキングなどで使用されているものだ。

INISAFE の脆弱性は 2022年に Symantec/ASEC の両社により文書化されているが、当時は HTML メールの添付ファイルを介して悪用されていたようだ。

2022年の Symantec レポートには、「典型的な攻撃は、悪意の HTM ファイルが E メール内の悪意のリンクとして受信されるケースと、Web からダウンロードされるケースから始まる。この HTM ファイルは scskapplink.dll という DLL ファイルにコピーされ、正規のシステム管理ソフトウェアである INISAFE Web EX Client にインジェクトされる」と詳述されている。

この脆弱性を悪用すると、攻撃前にすでに侵害されていた IIS Web Server から悪意のペイロード SCSKAppLink.dll がフェッチされ、マルウェア配布サーバとして使用される。

ASEC はレポートで、「SCSKAppLink.dll のダウンロード URL は、前述の IIS Web Server であることが確認された。つまり、事前に脅威アクターが IIS Web Server を攻撃し、マルウェアを配布するためのサーバとして、制御権を獲得したことを意味する」と述べている。

同社は特定のペイロードを分析したわけではないが、最近の他の Lazarus キャンペーンで見られたマルウェア・ダウンローダーの可能性が高いと述べている。

続いて、Lazarus は、JuicyPotato 権限昇格マルウェア (usopriv.exe) を使用して、侵害したシステムの、より高いレベルのアクセス権を獲得する。

Using JuicyPotato in the attacks
実行中の JuicyPotato (ASEC)

JuicyPotato は、ダウンロードしたデータファイルを復号化し、AV 回避のためにメモリ内で動作する、第2のマルウェア・ローダー (‘usoshared.dat’) の実行に使用される。

Loading the decrypted executable in memory
復号化された実行ファイルをメモリ上にロード (ASEC)

同製品の既知の脆弱性を悪用した Lazarus の攻撃は、遅くとも 2022年4月以降から行われていることから、ASEC は NISAFE CrossWeb EX V6 のユーザーに対して、同ソフトを最新版にアップデートするよう推奨している。

同社は、バージョン 3.3.2.41 以降へのアップグレードを推奨しており、4ヶ月前に投稿した Lazarus の脅威を詳述した技術書も公開している。

Microsoft のアプリケーション・サーバーは、その信頼性の高さから、ハッカーがマルウェアを配布する際に、よく利用するターゲットになり始めている。

つい先週には、ロシアの Turla ハッカーが、Microsoft Exchange Server を悪用してターゲットにバックドアを配信していることを、CERT-UA と Microsoft が報告している。

Lazarus による Windows IIS 侵害ですが、前回の記事は 2023/05/24 の「北朝鮮の Lazarus Group:Microsoft IIS を侵害してスパイウェアを配布している」であり、その時も ASEC のレポートがソースとなっていました。それにしても、Lazarus の活動範囲は広いですね。よろしければ、Lazarus で検索も、ご利用ください。