윈도우 서버를 공격해 악성코드 배포 서버로 사용하는 Lazarus 공격 그룹 - ASEC BLOG 관련 IOC 2개 발견
그룹인 Lazarus 그룹이 INISAFE CrossWeb EX V3 취약점을 타격하는 것으로 알려짐 2. 보안 업데이트를 위해 INISAFE CrossWeb EX V3 제거 후 최신 버전으로 업그레이드 함
AhnLab Security Emergency response Center(ASEC)은 Lazarus 그룹이 윈도우 IIS 웹 서버를 공격해 악성코드 배포 서버로 활용하고 있는 정황을 확인하였다. 이 그룹은 워터링 홀 기법을 사용하여 국내 웹 사이트를 해킹하고, 취약한 INISAFE CrossWeb EX V6를 사용 중인 시스템에 악성코드를 배포하는 방식으로 악성활동을 하고 있다. 패치되지 않은 시스템을 대상으로 하는 취약점 공격은 최근까지도 이루어지고 있다. INISAFE CrossWeb EX V3 제거 후 최신 버전으로 업그레이드하는 것을 권고한다.
Ahnlab
Lazarus attack group that attacks Windows server and uses it as a malware distribution server -asec blog
The group, Lazarus Group, is known to hit the Inisafe CrossWeb EX V3 vulnerability 2. IniSafe Crossweb ex V3 is upgraded to the latest version for security updates.
Ahnlab Security Emergency Response Center (ASEC) confirmed the situation in which the Lazarus group attacked the Windows IIS web server and used it as a malware distribution server.The group is hacking domestic websites using watering hole techniques and deploying malicious code to a system that is using vulnerable Inisafe Crossweb EX V6.Vulnerability attacks targeting unpacked systems have been made until recently.Insafe Crossweb Ex v3 is recommended to upgrade to the latest version.
https://asec.ahnlab.com/ko/55252/