تُستخدم تحديثات Windows لنشر البرامج الضارة بواسطة قراصنة Lazarus

يمنحنا امتلاك نسخة رسمية ومحدثة من نظام التشغيل Windows درجة معينة من الأمان ، مع الأخذ في الاعتبار أننا نحصل على تحديثات الأمان بشكل منتظم.

لكن هل فكرت يومًا أنه يمكن استخدام التحديثات نفسها ضدنا يومًا ما؟ حسنًا ، يبدو أن ذلك اليوم قد جاء أخيرًا ، ويحذرنا الخبراء من الآثار المحتملة.

في الآونة الأخيرة ، تمكنت مجموعة القرصنة الكورية الشمالية المسماة Lazarus من استخدام عميل Windows Update لتنفيذ تعليمات برمجية ضارة على أنظمة Windows.

قامت مجموعة قراصنة كورية شمالية بخرق تحديثات Windows

الآن ، ربما تتساءل في أي الدوائر تم الكشف عن أحدث مخطط عبقري للهجوم الإلكتروني.

قام فريق Malwarebytes Threat Intelligence بذلك ، أثناء تحليل حملة يناير / كانون الثاني التي انتحلت فيها شركة الأمن والفضاء الأمريكية Lockheed Martin.

حرص المهاجمون الذين أجروا هذه الحملة على التأكد من فتح المرفقات الخبيثة وتمكين التنفيذ الكلي بعد أن يقوم الضحايا بفتح ملفات يسقط الماكرو المضمن ملف WindowsUpdateConf.lnk في مجلد بدء التشغيل وملف DLL (wuaueng.dll) في Windows / System32 المخفي مجلد.

الخطوة التالية هي استخدام ملف LNK لتشغيل عميل WSUS / Windows Update (wuauclt.exe) لتنفيذ أمر يقوم بتحميل DLL الضار للمهاجمين.

ربط الفريق المسؤول عن الكشف عن هذه الهجمات بـ Lazarus بناءً على الأدلة الموجودة ، بما في ذلك تداخلات البنية التحتية ، وتوثيق البيانات الوصفية ، واستهداف مماثل للحملات السابقة.

يواصل Lazarus تحديث مجموعة أدواته للتهرب من الآليات الأمنية وسيواصل بالتأكيد القيام بذلك ، من خلال استخدام تقنيات مثل استخدام KernelCallbackTable لاختطاف تدفق التحكم وتنفيذ كود القشرة.

أضف إلى ذلك استخدام عميل Windows Update لتنفيذ التعليمات البرمجية الضارة ، جنبًا إلى جنب مع GitHub لاتصال C2 ، وسيكون لديك المستلم لكارثة كاملة ومطلقة.

الآن بعد أن عرفت أن هذا التهديد حقيقي ، يمكنك اتخاذ المزيد من احتياطات السلامة وتجنب الوقوع ضحية لأطراف ثالثة ضارة.

هل سبق أن أصيب جهازك ببرامج ضارة خطيرة من خلال تحديث Windows؟ شارك تجربتك معنا في قسم التعليقات أدناه.