Hackers de Lazarus Explotan Servidores IIS para Establecer Infraestructura de Comando y Control
Recientemente, se ha detectado una campaña maliciosa llevada a cabo por el grupo de amenazas conocido como Lazarus, que está explotando vulnerabilidades en servidores Internet Information Services (IIS) para desplegar web shells basados en ASP. Estos web shells sirven como puntos iniciales de acceso y control (C2), facilitando la comunicación con una infraestructura C2 secundaria.
¿Qué son los Servidores IIS y por qué son un objetivo?
IIS (Internet Information Services) es un conjunto de servicios web desarrollados por Microsoft para ejecutar sitios web, aplicaciones web y otros servicios relacionados con la web. Debido a su amplia implementación en organizaciones de todo el mundo, los servidores IIS se convierten en objetivos atractivos para ciberataques. Una configuración incorrecta o la existencia de vulnerabilidades sin parchear pueden permitir a los atacantes obtener acceso no autorizado.
El Ataque: Despliegue de Web Shells ASP
La táctica empleada por Lazarus consiste en comprometer servidores IIS y desplegar web shells escritos en ASP (Active Server Pages). Un web shell es esencialmente un script que permite a un atacante ejecutar comandos directamente en el servidor web comprometido a través de una interfaz basada en la web. En este caso, los atacantes están utilizando estos web shells como una plataforma inicial para establecer comunicaciones con su infraestructura C2.
Infraestructura C2 en Dos Etapas
Lo particularmente astuto de esta campaña es el uso de una infraestructura C2 escalonada. El web shell implantado inicialmente actúa como un proxy, redirigiendo las comunicaciones hacia una segunda capa de infraestructura C2. Esta técnica dificulta la detección del verdadero origen del ataque y complica las labores de análisis forense.
- Primera Etapa: Web Shells ASP – Proporcionan acceso inicial al servidor comprometido y actúan como punto intermedio.
- Segunda Etapa: Infraestructura C2 Oculta – La verdadera base del control del atacante, protegida detrás del primer nivel.
Implicaciones y Mitigación
Este tipo de ataque puede tener graves consecuencias para las organizaciones afectadas, incluyendo:
- Robo de datos confidenciales
- Interrupción del servicio
- Compromiso adicional dentro de la red interna
- Uso del servidor comprometido para lanzar ataques contra terceros
Para mitigar este riesgo, se recomienda:
- Aplicar parches de seguridad a los servidores IIS lo antes posible.
- Implementar configuraciones seguras para IIS, siguiendo las mejores prácticas recomendadas por Microsoft.
- Utilizar sistemas de detección y prevención de intrusiones (IDS/IPS) para identificar actividades sospechosas.
- Realizar auditorías periódicas de seguridad para identificar posibles vulnerabilidades.
- Monitorear activamente los archivos del servidor web buscando modificaciones no autorizadas que puedan indicar la presencia de un *web shell*.
Más Información
Para obtener más detalles sobre esta amenaza, puedes consultar la Fuente original.
