威胁情报信息分享|朝鲜APT组织Lazarus针对微软IIS服务器部署间谍软件

臭名昭著的APT组织Lazarus已经开始将易受攻击的微软Internet信息服务（IIS）服务器作为首次攻击路径，以在目标系统上部署恶意软件。

这些发现来自AhnLab安全应急响应中心（ASEC），该中心详细描述了这种持续威胁（APT）继续滥用DLL侧边加载技术运行任意负载。

ASEC解释说：“威胁行为者通过Windows IIS web服务器进程，w3wp.exe，将恶意DLL (msvcr100.dll)放在与正常应用程序(Wordconv.exe)相同的文件夹路径中。然后，他们执行正常的应用程序以启动恶意DLL的执行。”

DLL侧边加载，类似于DLL搜索顺序劫持，指的是通过在相同目录中种植良性二进制文件来代理执行恶意DLL。

Lazarus Group，一个高能力和目标定位精确的与朝鲜有关的国家级APT组织，最近被发现在与企业通信服务提供商3CX的级联供应链攻击中使用了相同的技术。

这个恶意的msvcr100.dll库，被设计来解密一个然后在内存中执行的编码负载。据说这种恶意软件是ASEC去年发现的类似工件的一个变体，它充当了与行为者控制的服务器通信的后门。

攻击链还包括利用一个已停止的开源Notepad++插件Quick Color Picker来传送额外的恶意软件，以便促进凭证盗窃和横向移动。

最新的发展显示了Lazarus攻击的多样性和其使用大量工具对受害者进行长期间谍行动的能力。

ASEC说：“特别是，由于APT组织在其最初的入侵中主要使用DLL侧边加载技术，公司应该积极监控异常进程执行关系，并采取预防措施，防止APT攻击者进行信息泄露和横向移动等活动。”