5/5 - (4 votes)

Le groupe Lazarus cible maintenant les serveurs Web Windows IIS.

Les pirates de Lazarus ciblent les serveurs Web Windows IIS pour un accès initial. Des chercheurs sud-coréens de l’ASEC (AhnLab Security Emergency Response Center) découvrent une nouvelle cible des pirates. Les pirates notoires soutenus par l’État nord-coréen, connus sous le nom de groupe Lazarus, ciblent désormais les serveurs Web Windows Internet Information Services (IIS). Des serveurs vulnérables permettant un accès initial aux réseaux d’entreprise. Lazarus est principalement motivé financièrement, de nombreux analystes estimant que les activités malveillantes des pirates aident à financer les programmes de développement d’armes de la Corée du Nord. Cependant, le groupe a également été impliqué dans plusieurs opérations d’espionnage. (Sources)

L’auteur de la menace place une DLL malveillante (msvcr100.dll) dans le même chemin de dossier qu’une application normale (Wordconv.exe) via le processus du serveur Web Windows IIS, w3wp.exe. Ils exécutent alors l’application normale pour initier l’exécution de la DLL illicite. Dans MITRE ATT&CK, cette méthode d’attaque est classée comme le chargement latéral de DLL (T1574.002) technique. (Sources)


Lazarus Group est un groupe de cybercriminalité dirigé par le gouvernement de la Corée du Nord . Les chercheurs en sécurité leur ont attribué de nombreuses cyberattaques entre 2010 et 2022. Il se présente à l'origine comme un groupe criminel, il est devenu depuis quelques années une menace persistante avancée. Ce groupe se concentre sur les cyberattaques d'espionnage et d'infiltration. Un de ses sous-groupe, nommé Bluenoroff par Kaspersky, se spécialise dans les cyberattaques financières et cryptomonnaies. A la fin de l'année 2020, Lazarus cible ses attaques sur les entreprises pharmaceutiques. Au début de l'année 2021, Lazarus cible des chercheurs en cybersécurité via une campagne d'ingénierie sociale. En juin 2022 et selon le FBI, le groupe malveillant serait responsable du vol de 100 millions de dollars de monnaie virtuelle. En juin 2023 Les pirates ciblent désormais les serveurs Web Windows Internet Information Services (IIS) vulnérables afin d'obtenir un accès initial aux réseaux d'entreprise.


Les serveurs Microsoft web IIS 7 et ultérieurs ont une architecture complètement modulaire qui offre trois avantages clés, l'ajout de composant, l'extensibilité et l'intégration de ASP.NET. Sécurisez le serveur en réduisant la surface d’attaque. Améliorez les performances et réduisez l’empreinte mémoire. Générez des serveurs personnalisés / spécialisés. Autoriser les applications web. Améliorer l'expérience de développement. L'intégration de ASP.NET IIS permet aux applications web de tirer pleinement parti des fonctionnalités puissantes comme l’authentification basée sur les formulaires, l’appartenance et l'état de session.


Le hacking est initialement la bidouille et l’expérimentation, dont les motivations sont la passion, le jeu, le plaisir, l’échange et le partage. Il s'apparente en partie au piratage informatique. Dans ce cas, c'est une pratique visant à un échange « discret » d'informations illégales ou confidentielles. 


Une cyberattaque est un acte malveillant envers un dispositif informatique via un réseau cybernétique. Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques. Les origines des cyberattaques sont multiples et proviennent le plus souvent d'attaques par rançongiciels, par phishing, par botnets ou via l'exploitation de failles critiques de sécurité dites Zero-Day. Les retards liés à l'application des mises à jours et correctifs d'applications accentue les risques d'intrusion dans les systèmes et les réseaux. Des exploits dormants infectent les systèmes et les réseaux non corrigés en vue de leur future activation. Un procédé qui permet de masquer l'origine de l'attaque et de voler des informations confidentielles dans un but lucratif.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

Share
Tweet
whatsapp
Share
Pin it

A propos de l'auteur

Nicolas Coolman est un expert en informatique et en sécurité informatique français bien connu. Il est spécialisé dans l'analyse et la désinfection de logiciels malveillants, notamment les adwares, les ransomwares, les chevaux de Troie et autres types de logiciels indésirables. Nicolas Coolman est également le créateur de plusieurs outils de sécurité informatique, tels que "ZHPCleaner" et "ZHPDiag", qui sont largement utilisés par les utilisateurs pour analyser et nettoyer des logiciels malveillants de leurs systèmes d'exploitation Windows . Nicolas Coolman est très actif dans la communauté de la sécurité informatique et partage régulièrement ses connaissances et ses découvertes sur son site Web et sur les forums dédiés à la sécurité. Son expertise est reconnue par de nombreux utilisateurs et professionnels de l'informatique, et il est considéré comme une référence dans le domaine de la lutte contre les logiciels malveillants.

Publications similaires

Retour en haut