攻击使用过时的Notepad++插件来传递恶意软件。
AhnLab安全应急响应中心(ASEC)报告说,朝鲜黑客组织Lazarus Group正在瞄准易受攻击的Microsoft Internet Information Services(IIS)服务器版本,以便在目标系统上部署恶意软件。
根据AhnLab Securit的说法,该小组使用DLL旁加载(DLL旁加载)方法来运行任意有效负载。黑客通过Windows Internet Information Services(IIS)Web服务器进程w100wp.exe将恶意DLL(msvcr3.dll)放在与常规应用程序(Wordconv.exe相同的文件夹路径中。然后,攻击者运行常规应用程序来启动恶意 DLL 的执行。
恶意库“msvcr100.dll”旨在解密编码的有效负载,然后在内存中执行。据称该恶意软件是ASEC去年发现的一种变种,并充当了与C2服务器通信的后门。
攻击链还需要使用一个名为Quick Color Picker的开源Notepad++插件(该插件已经停产)来提供额外的恶意软件,以促进凭据盗窃和横向移动。
最新的发展表明了Lazarus攻击的多样性以及该组织使用一套广泛的工具进行长期间谍活动的能力。
