Badacze cyberbezpieczeństwa z Malwarebytes odkryli, że Lazarus, dobrze znana grupa cyberprzestępcza powiązana z rządem Korei Północnej, skutecznie wykorzystała klienta Windows Update do dystrybucji złośliwego oprogramowania.
W poście na blogu szczegółowo opisującym swoje ustalenia badacze napisali, że badają kampanię phishingową podszywającą się pod Lockheed Martin, amerykańską firmę z branży lotniczej, broni, obronności, bezpieczeństwa informacji i technologii.
Grupa dystrybuowała dwa pliki: Lockheed_Martin_JobOpportunities.docx i Salary_Lockheed_Martin_job_opportunities_confidential.doc, skierowane oczywiście do osób zainteresowanych podjęciem pracy w firmie.
złośliwe makra
Same dokumenty zawierały złośliwe makra, które po aktywacji upuszczały plik WindowsUpdateConf.lnk do folderu startowego terminala docelowego oraz plik DLL (wuaueng.dll) do folderu Windows/System32.
Następnie plik .lnk uruchamia klienta Windows Update, który z kolei uruchamia złośliwą bibliotekę DLL.
„Jest to interesująca technika wykorzystywana przez Lazarusa do uruchamiania złośliwych bibliotek DLL za pomocą klienta Windows Update”, aby ominąć rozwiązania antywirusowe i inne mechanizmy bezpieczeństwa.
„Korzystając z tej metody, atakujący może wykonać swój złośliwy kod za pośrednictwem klienta Microsoft Windows Update, przekazując następujące argumenty: /UpdateDeploymentProvider, ścieżka do złośliwego oprogramowania dll i argument /RunHandlerComServer po dll”.
Nie jest to pierwszy przypadek wykorzystania klienta Windows Update do uruchomienia złośliwego oprogramowania, ponieważ w październiku 2020 r. badacz MDSec David Middlehurst odkrył tę lukę, a nawet ją wykorzystał.
Nie widzieliśmy jeszcze, co Microsoft z tym zrobi, ale jak zwykle należy zachować szczególną ostrożność podczas pobierania i uruchamiania dokumentów przychodzących pocztą, zwłaszcza jeśli wymagają one włączenia makr.
Lazarus to jedna z najniebezpieczniejszych grup cyberprzestępczych na świecie, znana z zaangażowania w fiasko WannaCry, a także ataku na firmę Sony po wypuszczeniu przez nią filmu komediowego, którego akcja rozgrywa się w fikcyjnej Korei Północnej.
Przez: BleepingComputer