Η ομάδα πίσω από το λογισμικό Lazarus, που υποστηρίζεται από τη Βόρεια Κορέα, φαίνεται ότι χρησιμοποιεί ενεργά το Windows Update, για την εκτέλεση κακόβουλου κώδικα σε συστήματα Windows.
Δείτε επίσης: Lazarus, Cobalt, FIN7: Οι hacking ομάδες που στοχεύουν συστηματικά τον κλάδο των χρηματοοικονομικών
Η νέα μέθοδος ανάπτυξης κακόβουλου λογισμικού ανακαλύφθηκε από την ομάδα Malwarebytes Threat Intelligence κατά την ανάλυση μιας εκστρατείας spearphishing τον Ιανουάριο, που υποδύθηκε την αμερικανική εταιρεία ασφάλειας και αεροδιαστημικής Lockheed Martin.
Αφού τα θύματα ανοίξουν τα κακόβουλα συνημμένα και ενεργοποιήσουν την εκτέλεση μακροεντολών, μια ενσωματωμένη μακροεντολή κατεβάζει ένα αρχείο WindowsUpdateConf.lnk στον φάκελο εκκίνησης και ένα αρχείο DLL (wuaueng.dll) σε έναν κρυφό φάκελο Windows/System32.
Στο επόμενο στάδιο, το αρχείο LNK χρησιμοποιείται για την εκκίνηση του προγράμματος WSUS / Windows Update (wuauclt.exe), για την εκτέλεση μιας εντολής που φορτώνει το κακόβουλο DLL των εισβολέων.
“Αυτή είναι μια ενδιαφέρουσα τεχνική που χρησιμοποιείται από την ομάδα Lazarus, για να τρέξει το κακόβουλο DLL μέσω του Windows Update Client, ώστε να παρακάμψει τους μηχανισμούς ανίχνευσης ασφαλείας“, δήλωσε η Malwarebytes.
Δείτε ακόμα: Windows Update: Ενημερώνει αν το PC σας μπορεί να τρέξει Windows 11;
Οι ερευνητές συνέδεσαν αυτές τις επιθέσεις με το Lazarus με βάση πολλά στοιχεία, όπως επικαλύψεις υποδομών, μεταδεδομένα εγγράφων και στόχευση παρόμοια με προηγούμενες εκστρατείες.
Η ομάδα Lazarus, επίσης γνωστή και ως HIDDEN COBRA, είναι μια βορειοκορεατική στρατιωτική ομάδα hacking, που δραστηριοποιείται για περισσότερο από μια δεκαετία, τουλάχιστον από το 2009.
Οι χειριστές της συντόνισαν την παγκόσμια εκστρατεία ransomware WannaCry του 2017 και βρίσκονται πίσω από επιθέσεις εναντίον εταιρειών υψηλού προφίλ, όπως η Sony Films και πολλές τράπεζες σε όλο τον κόσμο.
Πέρυσι, η Google εντόπισε την ομάδα Lazarus να στοχεύει ερευνητές ασφαλείας τον Ιανουάριο, ως μέρος πολύπλοκων επιθέσεων social engineering και μιας παρόμοιας εκστρατείας τον Μάρτιο.
Δείτε επίσης: Τι είναι το Social Engineering, ποιες οι τεχνικές του και πως να προστατευτείτε;
Εντοπίστηκε επίσης να χρησιμοποιεί το προηγουμένως μη τεκμηριωμένο backdoor ThreatNeedle σε μια μεγάλης κλίμακας εκστρατεία κυβερνοκατασκοπείας κατά της αμυντικής βιομηχανίας περισσότερων από δώδεκα χωρών.
Το Υπουργείο Οικονομικών των ΗΠΑ επέβαλε κυρώσεις σε τρεις ομάδες hacker που χρηματοδοτήθηκαν από τη ΛΔΚ (Lazarus, Bluenoroff και Andariel) τον Σεπτέμβριο του 2019 και η κυβέρνηση των ΗΠΑ προσφέρει ανταμοιβή έως και 5 εκατομμυρίων δολαρίων για πληροφορίες σχετικά με τη δραστηριότητα του Lazarus.
