윈도우 서버를 공격해 악성코드 배포 서버로 사용하는 Lazarus 공격 그룹
Contents
AhnLab Security Emergency response Center(ASEC)은 국가 차원의 지원을 받는 공격 그룹으로 알려진 Lazarus 그룹이 윈도우 Internet Information Services(IIS) 웹 서버를 공격해 악성코드 배포 서버로 활용하고 있는 정황을 확인하였다.
Lazarus 그룹은 초기 침투 방식으로서 워터링 홀 기법을 사용하는 것으로 알려져 있다. [1] 먼저 국내 웹 사이트를 해킹하여 해당 사이트에서 제공되는 컨텐츠를 조작한다. 이후 취약한 버전의 INISAFE CrossWeb EX V6를 사용 중인 시스템에서 해당 사이트에 웹 브라우저로 접근할 경우 INISAFECrossWebEXSvc.exe의 취약점에 의해 악성코드 배포 사이트에서 Lazarus 악성코드(SCSKAppLink.dll)가 설치되는 방식이다.
INITECH 취약점은 이미 패치되었지만 패치되지 않은 시스템들을 대상으로 하는 취약점 공격은 최근까지도 이루어지고 있다. Lazarus 그룹은 IIS 웹 서버를 공격해 제어를 탈취한 이후 INITECH 취약점 공격에 사용되는 악성코드를 배포하는 목적의 서버로 사용하였다.
만약 취약한 버전의 INISAFE CrossWeb EX V3가 설치되어 있는 경우라면 다음 보안 업데이트 권고를 참고하여 제거 후 최신 업데이트를 진행해야 한다.
1. 윈도우 IIS 웹 서버 공격
Lazarus 공격 그룹이 IIS 서버를 공격하는 사례는 과거 2023년 5월 ASEC 블로그 “윈도우 IIS 웹 서버를 노리는 Lazarus 그룹”[2] …
Lazarus 그룹은 초기 침투 방식으로서 워터링 홀 기법을 사용하는 것으로 알려져 있다. [1] 먼저 국내 웹 사이트를 해킹하여 해당 사이트에서 제공되는 컨텐츠를 조작한다. 이후 취약한 버전의 INISAFE CrossWeb EX V6를 사용 중인 시스템에서 해당 사이트에 웹 브라우저로 접근할 경우 INISAFECrossWebEXSvc.exe의 취약점에 의해 악성코드 배포 사이트에서 Lazarus 악성코드(SCSKAppLink.dll)가 설치되는 방식이다.
INITECH 취약점은 이미 패치되었지만 패치되지 않은 시스템들을 대상으로 하는 취약점 공격은 최근까지도 이루어지고 있다. Lazarus 그룹은 IIS 웹 서버를 공격해 제어를 탈취한 이후 INITECH 취약점 공격에 사용되는 악성코드를 배포하는 목적의 서버로 사용하였다.
만약 취약한 버전의 INISAFE CrossWeb EX V3가 설치되어 있는 경우라면 다음 보안 업데이트 권고를 참고하여 제거 후 최신 업데이트를 진행해야 한다.
1. 윈도우 IIS 웹 서버 공격
Lazarus 공격 그룹이 IIS 서버를 공격하는 사례는 과거 2023년 5월 ASEC 블로그 “윈도우 IIS 웹 서버를 노리는 Lazarus 그룹”[2] …
IoC
280152dfeb6d3123789138c0a396f30d
d0572a2dd4da042f1c64b542e24549d9
d0572a2dd4da042f1c64b542e24549d9