卡巴斯基发现被Lazarus入侵并用于控制攻击行动的服务器

我们在印度尼西亚、印度、孟加拉、马来西亚、越南、韩国、台湾地区、泰国以及其他地区都发现了被入侵服务器。Lazarus网络犯罪组织可以使用这些服务器对企业或组织发动针对性攻击。

研究人员发现这些服务器被Manuscrypt恶意软件所感染，这是一种威胁攻击者从2013年就开始使用的恶意软件家族。研究人员认为，Manuscrypt恶意软件是通过使用CVE-2017-7269漏洞利用程序安装的，这是一种Microsoft 互联网信服务(IIS)6.0漏洞，微软公司在2017年6月13日已经修复了该漏洞。

全球仍然有很多服务器面临这种漏洞利用程序感染的风险。根据公开来源的情报，仍有服务器面临此漏洞威胁的前五大国家和地区中有三个在亚太地区，分别为：中国(7,848台)、印度(1,524台)和香港特别行政区(1,102台)。美国在排行榜上名列第一，其包含漏洞的服务器最多(11,949台)，英国位列第五(805台)。

如果漏洞利用程序攻击成功，恶意软件就可以控制受感染的主机，从而让攻击者在服务器上轻松植入其他恶意软件。卡巴斯基实验室研究人员还发现这些服务器上有多种工具，包括信息收集工具。使用这些信息收集工具，攻击者可以从受害者的基础设施上窃取信息。

Lazarus被认为是多起大规模和高调攻击的幕后黑手，例如2014年索尼影业被黑事件、2016年发生的孟加拉银行被盗案以及最近的毁灭性的WannaCry勒索软件攻击。这个使用韩语的威胁攻击组织被认为是得到了政府的支持。

卡巴斯基实验室全球研究和分析团队(GReAT)高级安全研究员Seongsu Park说：“企业越来越担心遭受高级针对性攻击，例如Lazarus。他们不知道他们自己的公司服务器可能会被黑客感染和操纵，或用于对他人进行攻击。”

Park预测，对于这些针对企业网络的攻击事件，需要调整企业的IT安全优先级和流程，因为客户需要能够将情报和专业知识结合起来的技术来保护自己抵御已知和未知的威胁。

为了避免成为这种攻击的受害者，卡巴斯基实验室研究人员建议采取以下措施：

· 安装可靠的安全解决方案，作为全面的和多层级的IT基础设施安全的一部分

· 强制使用强密码作为服务器身份验证过程的一部分

· 实施连续的补丁管理措施

· 定期对IT基础设施进行安全审计

· 考虑投资威胁情报服务，因为这些服务能够让企业和组织了解最新的威胁信息，了解网络罪犯的想法，帮助企业评估其风险水平。