Актуализациите на Windows се използват за разпространение на зловреден софтуер от хакери на Lazarus

  • Актуализациите на Windows се използват от Microsoft за укрепване на защитата на нашите системи.
  • Въпреки това, може да искате да знаете, че дори тези актуализации вече не са безопасни за използване.
  • Подкрепена от Северна Корея хакерска група на име Lazarus успя да ги компрометира.
  • Всичко, което жертвите трябва да направят, е да отворят злонамерените прикачени файлове и да разрешат изпълнението на макроси.
актуализация на windows

Притежаването на официално, актуално копие на операционната система Windows ни дава известна степен на безопасност, като се има предвид, че получаваме актуализации за защита редовно.

Но замисляли ли сте се някога, че самите актуализации могат да бъдат използвани срещу нас един ден? Е, изглежда, че този ден най-накрая дойде и експертите ни предупреждават за възможните последици.

Наскоро севернокорейската хакерска група, наречена Lazarus, успя да използва клиента Windows Update, за да изпълни зловреден код в системите на Windows.

Севернокорейска хакерска група компрометира Windows Updates

Сега вероятно се чудите при какви обстоятелства е разкрита тази последна гениална схема за кибератака.

Екипът на Malwarebytes Threat Intelligence го направи, докато анализира януарска кампания за фишинг, представяща се за американската компания за сигурност и аерокосмическа компания Lockheed Martin.

Нападателите, използващи тази кампания, се увериха, че след като жертвите отворят злонамерените прикачени файлове и активират изпълнението на макроси, вграденият макрос пуска файл WindowsUpdateConf.lnk в папката за стартиране и DLL файл (wuaueng.dll) в скрит Windows/System32 папка.

Следващата стъпка е LNK файлът да се използва за стартиране на клиента за WSUS / Windows Update (wuauclt.exe) за изпълнение на команда, която зарежда злонамерената DLL на нападателите.

Източник: Malwarebytes

Екипът, който стои зад разкриването на тези атаки, ги свърза с Lazarus въз основа на съществуващи доказателства, включително инфраструктурни припокривания, метаданни на документи и насочване, подобно на предишни кампании.

Lazarus продължава да актуализира своя набор от инструменти, за да избегне механизмите за сигурност и със сигурност ще продължи да го прави, като използва техники като използването на KernelCallbackTable за да отвлечете контролния поток и изпълнението на шелкод.

Свържете това с използването на клиента за Windows Update за изпълнение на злонамерен код, заедно с GitHub за C2 комуникация, и имате рецептата за пълна и пълна катастрофа.

Сега, когато знаете, че тази заплаха е реална, можете да вземете повече предпазни мерки и да избегнете да станете жертва на злонамерени трети страни.

Някога вашата машина била ли е заразена с опасен зловреден софтуер чрез актуализация на Windows? Споделете своя опит с нас в секцията за коментари по-долу.

Безопасен ли е DriverAgent Plus? Как мога да го премахна от моя компютър?

Безопасен ли е DriverAgent Plus? Как мога да го премахна от моя компютър?Зловреден софтуерЗаплахи за сигурността

DriverAgent Plus е подозрителен файл, който заблуждава вашата защитна стена и може да съдържа злонамерен софтуер.Използването на програма за деинсталиране на трета страна бързо ще се отърве от Driv...

Прочетете още
Как да предотвратим атака на троянския кон NukeBot

Как да предотвратим атака на троянския кон NukeBotЗловреден софтуерКибер защита

Зловредният софтуер за банкиране NukeBot може да повлияе на банковите системи, но може и да зарази вашия компютър.Тази заплаха всъщност е троянски кон, който попада предимно във вашата система чрез...

Прочетете още
Какво е .djvu вирус с разширение на файла и как да го премахна?

Какво е .djvu вирус с разширение на файла и как да го премахна?Зловреден софтуерRansomware

DJVU е разширение на вирусен файл за злонамерена програма, която кодира основни файлове на компютър.След като разширението на файла се промени от вирусен шпионски софтуер, този вирус ще изисква пар...

Прочетете още