Nhóm Lazarus, một nhóm đe dọa lâu dài có khả năng cao và được liên kết với Bắc Triều Tiên, đã được quan sát tấn công các phiên bản dễ bị tổn thương của các máy chủ Microsoft Internet Information Services (IIS) như một lộ trình xâm nhập ban đầu để triển khai phần mềm độc hại trên các hệ thống mục tiêu. Trung tâm Phản ứng Khẩn cấp Bảo mật AhnLab (ASEC) đã báo cáo rằng nhóm đang sử dụng các kỹ thuật tải DLL bên để triển khai thư viện msvcr100.dll độc hại, được thiết kế để giải mã payload được mã hóa sau đó được thực thi trong bộ nhớ. Chuỗi tấn công tiếp tục liên quan đến việc khai thác một plugin nguồn mở đã ngưng hoạt động của Notepad++ có tên Quick Color Picker để cung cấp thêm phần mềm độc hại nhằm mục đích giúp việc lấy cắp thông tin xác thực và di chuyển ngang. Bộ Tài chính Hoa Kỳ gần đây đã đưa ra lệnh trừng phạt bốn thực thể và một cá nhân liên quan đến các hoạt động mạng độc hại và các kế hoạch gây quỹ nhằm hỗ trợ các ưu tiên chiến lược của Bắc Triều Tiên. Điều này bao gồm Đại học Tự động hóa Pyongyang, Cục Thăm dò Kỹ thuật và đơn vị mạng phụ thuộc, Trung tâm Nghiên cứu 110, Công ty Hợp tác Công nghệ Thông tin Chinyong và một công dân Bắc Triều Tiên tên là Kim Sang Man. Người ta tin rằng Nhóm Lazarus được điều hành bởi Cục Thăm dò Kỹ thuật, đơn vị giám sát sự phát triển của chiến thuật và công cụ mạng tấn công của Bắc Triều Tiên. Chính phủ Hàn Quốc đã cảnh báo rằng quốc gia này được biết đến với việc kiếm tiền bất hợp pháp từ lực lượng lao động IT tài năng, họ giả danh thành các danh tính giả mạo để tìm việc trong ngành công nghệ và tiền ảo trên toàn thế giới. Những người lao động này cố tình che dấu danh tính, vị trí và quốc tịch của mình, thường sử dụng các nhân vật giả, tài khoản proxy, danh tính bị đánh cắp và giấy tờ đã bị sửa đổi hoặc giả mạo để nộp đơn xin việc tại các công ty này. Các công ty nên theo dõi chủ động các mối quan hệ thực thi quá trình bất thường và thực hiện các biện pháp dự phòng để ngăn chặn nhóm đe dọa thực hiện các hoạt động như exfiltration thông tin và di chuyển ngang.
Source: Hackernews
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.