22/12/2024

Actu Cybersécurité

Les pirates de Lazarus s’attaque aux serveurs IIS pour distribuer des malwares

Le groupe de pirates Lazarus s'amuse à compromettre des serveurs web Microsoft IIS pour distribuer des logiciels malveillants aux visiteurs ! Faisons le point sur cette campagne d'attaques.

Pour rappel, IIS est le serveur web officiel de Microsoft que l'on peut installer sur Windows Server ou sur Windows, c'est-à-dire sur un serveur ou un poste de travail. Il est utilisé par certains produits de Microsoft tels que Exchange et WSUS, mais aussi par certaines applications métiers. Même si c'est plus rare, on peut l'utiliser pour héberger un site web.

Dans un nouvel article, les analystes de chez ASEC expliquent que le groupe de pirates Lazarus, sponsorisé par la Corée du Nord, s'en prend aux serveurs Windows Server, et plus particulièrement aux serveurs web IIS peu protégés, de manière à disposer de ressources pour distribuer des malwares. Précédemment, le groupe Lazarus utilisait les serveurs IIS compromis pour avoir un accès initial au réseau des entreprises.

Les récentes attaques montrent que le groupe Lazarus s'en prend aux organisations basées en Corée du Sud en piratant des sites légitimes qui utilisent une version vulnérable du logiciel INISAFE CrossWeb EX V6. Avec cette technique d'attaque dite du point d'eau (watering hole), les pirates souhaitent infecter les machines des visiteurs. Quant à ce logiciel, il est très populaire en Corée du Sud auprès des organisations publiques et privées. Sur le serveur compromis, le groupe Lazarus déploie une souche malveillante capable de télécharger d'autres malwares ainsi que JuicyPotato, un outil permettant d'effectuer une élévation de privilèges sur le système compromis.

Depuis le mois d'avril 2022, le groupe Lazarus exploite des failles de sécurité dans l'application INISAFE. Les administrateurs de ces serveurs sont invités à mettre à jour l'application pour se protéger (version 3.3.2.41 ou supérieure). De manière générale, veillez à bien protéger vos serveurs IIS (CrowdSec pour Windows peut vous aider) : le groupe Lazarus s'en est déjà pris à l'Europe...

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.