L'ASEC a découvert que le groupe APT Lazarus, parrainé par l'État nord-coréen, s'attaque aux serveurs web Windows Internet Information Service (IIS) et les utilise pour distribuer des logiciels malveillants. Les attaquants utilisent la technique du Watering Hole pour obtenir un accès initial en piratant des sites web et en modifiant leur contenu, il exploite la vulnérabilité de l'INISAFE CrossWeb EX V6.

Pour escalader les privilèges et faciliter les activités malveillantes, Lazarus déploie le logiciel malveillant JuicyPotato, qui contient Themida.

Après avoir réussi à s'infiltrer dans les systèmes, les attaquants tentent d'installer le logiciel malveillant "SCSKAppLink.dll" via la vulnérabilité INISAFECrossWebEXSvc.exe. Ce logiciel malveillant agit comme un téléchargeur qui récupère d'autres souches de logiciels malveillants à partir de sources externes, ce qui permet aux attaquants de prendre le contrôle des systèmes compromis.

La faille de JumpCloud a été attribuée au groupe APT Lazarus. JumpCloud a réinitialisé les clés API de ses clients et pris des mesures de précaution pour sécuriser ses systèmes.

Les activités du groupe Lazarus visant les serveurs web Windows IIS présentent des risques importants pour les entreprises et les particuliers. Il est donc impératif que les organisations adoptent des mesures strictes, y compris la gestion de la surface d'attaque, afin d'identifier les actifs exposés et d'appliquer en permanence les derniers correctifs de sécurité. Des pratiques de sécurité proactives sont essentielles pour atténuer les risques posés par ces acteurs de la menace.