Le groupe Lazarus cible les serveurs Web Windows IIS.

5/5 - (4 votes)

Le groupe Lazarus cible maintenant les serveurs Web Windows IIS.

Les pirates de Lazarus ciblent les serveurs Web Windows IIS pour un accès initial. Des chercheurs sud-coréens de l’ASEC (AhnLab Security Emergency Response Center) découvrent une nouvelle cible des pirates. Les pirates notoires soutenus par l’État nord-coréen, connus sous le nom de groupe Lazarus, ciblent désormais les serveurs Web Windows Internet Information Services (IIS). Des serveurs vulnérables permettant un accès initial aux réseaux d’entreprise. Lazarus est principalement motivé financièrement, de nombreux analystes estimant que les activités malveillantes des pirates aident à financer les programmes de développement d’armes de la Corée du Nord. Cependant, le groupe a également été impliqué dans plusieurs opérations d’espionnage. (Sources)

L’auteur de la menace place une DLL malveillante (msvcr100.dll) dans le même chemin de dossier qu’une application normale (Wordconv.exe) via le processus du serveur Web Windows IIS, w3wp.exe. Ils exécutent alors l’application normale pour initier l’exécution de la DLL illicite. Dans MITRE ATT&CK, cette méthode d’attaque est classée comme le chargement latéral de DLL (T1574.002) technique. (Sources)


Lazarus Group est un groupe de cybercriminalité dirigé par le gouvernement de la Corée du Nord . Les chercheurs en sécurité leur ont attribué de nombreuses cyberattaques entre 2010 et 2022. Il se présente à l'origine comme un groupe criminel, il est devenu depuis quelques années une menace persistante avancée. Ce groupe se concentre sur les cyberattaques d'espionnage et d'infiltration. Un de ses sous-groupe, nommé Bluenoroff par Kaspersky, se spécialise dans les cyberattaques financières et cryptomonnaies. A la fin de l'année 2020, Lazarus cible ses attaques sur les entreprises pharmaceutiques. Au début de l'année 2021, Lazarus cible des chercheurs en cybersécurité via une campagne d'ingénierie sociale. En juin 2022 et selon le FBI, le groupe malveillant serait responsable du vol de 100 millions de dollars de monnaie virtuelle. En juin 2023 Les pirates ciblent désormais les serveurs Web Windows Internet Information Services (IIS) vulnérables afin d'obtenir un accès initial aux réseaux d'entreprise. En novembre 2023, le groupe pirate CyberLink lors d'une attaque contre la chaîne d'approvisionnement.


Les serveurs Microsoft web IIS 7 et ultérieurs ont une architecture complètement modulaire qui offre trois avantages clés, l'ajout de composant, l'extensibilité et l'intégration de ASP.NET. Sécurisez le serveur en réduisant la surface d’attaque. Améliorez les performances et réduisez l’empreinte mémoire. Générez des serveurs personnalisés / spécialisés. Autoriser les applications web. Améliorer l'expérience de développement. L'intégration de ASP.NET IIS permet aux applications web de tirer pleinement parti des fonctionnalités puissantes comme l’authentification basée sur les formulaires, l’appartenance et l'état de session.


Le hacking est initialement la bidouille et l’expérimentation, dont les motivations sont la passion, le jeu, le plaisir, l’échange et le partage. Il s'apparente en partie au piratage informatique. Dans ce cas, c'est une pratique visant à un échange « discret » d'informations illégales ou confidentielles. 


Les cyberattaques sont des attaques malveillantes menées contre des systèmes informatiques, réseaux ou données, dans le but de causer des dommages, voler des informations ou perturber les opérations. Elles peuvent prendre différentes formes, telles que les virus, les logiciels malveillants, les attaques de phishing ou les attaques par déni de service (DDoS). Elles peuvent provenir aussi d'attaques par rançongiciels, par botnets ou via l'exploitation de failles critiques de sécurité dites Zero-Day.

Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques. Les retards liés à l'application des mises à jours et correctifs d'applications accentue les risques d'intrusion dans les systèmes et les réseaux. Des exploits dormants infectent les systèmes et les réseaux non corrigés en vue de leur future activation. Un procédé qui permet de masquer l'origine de l'attaque et de voler des informations confidentielles dans un but lucratif.

Ces attaques peuvent avoir des conséquences dévastatrices, tant pour les individus que pour les entreprises ou les gouvernements, allant de la perte de données sensibles à la mise hors service de services essentiels. La protection contre les cyberattaques est devenue une priorité majeure pour tous ceux qui utilisent des technologies informatiques.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut