Lazarus เป็นกลุ่ม Hacker จากเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐบาล โดยมีแรงจูงใจทางการเงินเป็นหลัก และมีส่วนร่วมในปฏิบัติการจารกรรมหลายครั้ง
ล่าสุดพบว่ามีกลยุทธ์ในการกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Windows Internet Information Services (IIS) ที่มีช่องโหว่เพื่อเข้าถึงระบบเครือข่ายขององค์กร ซึ่งถูกค้นพบโดยนักวิจัยชาวเกาหลีใต้จาก AhnLab Security Emergency Response Center (ASEC)
Lazarus เข้าถึงเซิร์ฟเวอร์ IIS โดยใช้ช่องโหว่ที่เป็นที่รู้จัก หรือการตั้งค่าที่ไม่เหมาะสม ซึ่งทำให้ผู้โจมตีสามารถสร้างไฟล์บนเซิร์ฟเวอร์ IIS โดยใช้ Process 'w3wp.exe' โดยผู้โจมตีจะวางไฟล์ 'Wordconv.exe' ซึ่งเป็นไฟล์ที่ถูกต้อง เป็นส่วนหนึ่งของ Microsoft Office และไฟล์ DLL ที่เป็นอันตราย 'msvcr100.dll' ในโฟลเดอร์เดียวกัน และไฟล์เข้ารหัสชื่อ 'msvcr100.dat'
เมื่อเปิดใช้งาน 'Wordconv.exe' โค้ดที่เป็นอันตรายในไฟล์ DLL จะทำงานเพื่อถอดรหัสไฟล์ปฏิบัติการที่เข้ารหัส Salsa20 จาก 'msvcr100.dat' และทำงานในหน่วยความจำโดยที่อุปกรณ์ป้องกันมัลแวร์ไม่สามารถตรวจจับได้
นักวิจัยพบโค้ดที่คล้ายกันหลายจุดระหว่าง 'msvcr100.dll' และมัลแวร์ที่พบเมื่อปีที่แล้ว 'cylvc.dll' ซึ่ง Lazarus ใช้เพื่อหลีกเลี่ยงการตรวจจับจากโปรแกรมป้องกันมัลแวร์โดยใช้เทคนิค "bring your own vulnerable driver"
ในขั้นที่สองของการโจมตี Lazarus สร้างมัลแวร์ตัวที่สอง 'diagn.dll' โดยใช้ปลั๊กอิน Notepad++ ในครั้งนี้มัลแวร์ได้รับเพย์โหลดใหม่ที่เข้ารหัสด้วยอัลกอริทึม RC6 ถอดรหัสโดยใช้คีย์แบบ Hard Code และทำงานในหน่วยความจำเพื่อหลบเลี่ยงการตรวจจับ
นักวิจัยไม่สามารถระบุได้ว่าเพย์โหลดนี้ทำอะไรกับระบบที่ถูกโจมตี แต่เห็นพฤติกรรมของการ LSASS Dumping ซึ่งเป็นการพยายามขโมยข้อมูลประจำตัว
ขั้นตอนสุดท้ายของการโจมตี Lazarus จะดำเนินการตรวจสอบเครือข่ายผ่าน Port 3389 (Remote Desktop) โดยใช้ข้อมูล Credential ของผู้ใช้งานที่ถูกต้อง ซึ่งสันนิษฐานว่าได้มาจากการขโมยในขั้นตอนก่อนหน้า อย่างไรก็ตามนักวิจัยไม่พบพฤติกรรมที่เป็นอันตรายใด ๆ อีกหลังจากที่ผู้โจมตีพยายามแพร่กระจายไปในเครือข่ายของเหยื่อ
เนื่องจาก Lazarus ใช้เทคนิค DLL sideloading เป็นส่วนหนึ่งของการโจมตี นักวิจัยจึงแนะนำให้องค์กรต้องตรวจสอบ Process การทำงานที่ผิดปกติอย่างต่อเนื่อง
ที่มา : bleepingcomputer
You must be logged in to post a comment.