22/10/2024
IT-Connect » Actualités » Actu Cybersécurité » Les pirates de Lazarus s’attaque aux serveurs IIS pour distribuer des malwares

Compromission de serveurs IIS groupe Lazarus
Actu Cybersécurité

Les pirates de Lazarus s’attaque aux serveurs IIS pour distribuer des malwares

Florian BURNEL 0 commentaire

Le groupe de pirates Lazarus s'amuse à compromettre des serveurs web Microsoft IIS pour distribuer des logiciels malveillants aux visiteurs ! Faisons le point sur cette campagne d'attaques.

Pour rappel, IIS est le serveur web officiel de Microsoft que l'on peut installer sur Windows Server ou sur Windows, c'est-à-dire sur un serveur ou un poste de travail. Il est utilisé par certains produits de Microsoft tels que Exchange et WSUS, mais aussi par certaines applications métiers. Même si c'est plus rare, on peut l'utiliser pour héberger un site web.

Dans un nouvel article, les analystes de chez ASEC expliquent que le groupe de pirates Lazarus, sponsorisé par la Corée du Nord, s'en prend aux serveurs Windows Server, et plus particulièrement aux serveurs web IIS peu protégés, de manière à disposer de ressources pour distribuer des malwares. Précédemment, le groupe Lazarus utilisait les serveurs IIS compromis pour avoir un accès initial au réseau des entreprises.

Les récentes attaques montrent que le groupe Lazarus s'en prend aux organisations basées en Corée du Sud en piratant des sites légitimes qui utilisent une version vulnérable du logiciel INISAFE CrossWeb EX V6. Avec cette technique d'attaque dite du point d'eau (watering hole), les pirates souhaitent infecter les machines des visiteurs. Quant à ce logiciel, il est très populaire en Corée du Sud auprès des organisations publiques et privées. Sur le serveur compromis, le groupe Lazarus déploie une souche malveillante capable de télécharger d'autres malwares ainsi que JuicyPotato, un outil permettant d'effectuer une élévation de privilèges sur le système compromis.

Depuis le mois d'avril 2022, le groupe Lazarus exploite des failles de sécurité dans l'application INISAFE. Les administrateurs de ces serveurs sont invités à mettre à jour l'application pour se protéger (version 3.3.2.41 ou supérieure). De manière générale, veillez à bien protéger vos serveurs IIS (CrowdSec pour Windows peut vous aider) : le groupe Lazarus s'en est déjà pris à l'Europe...

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Le géant de l’audio Bose victime d’un ransomware et d’une fuite de données

Florian BURNEL 0

Affaire SolarWinds : fuite d’une partie du code source d’Exchange et d’Azure

Florian BURNEL 0

VMware : un exploit PoC est en ligne pour la vulnérabilité CVE-2022-22972

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.