- Windows-Updates werden von Microsoft verwendet, um den Schutz unserer Systeme zu stärken.
- Vielleicht möchten Sie jedoch wissen, dass selbst diese Updates nicht mehr sicher zu verwenden sind.
- Einer von Nordkorea unterstützten Hackergruppe namens Lazarus gelang es, sie zu kompromittieren.
- Die Opfer müssen lediglich die schädlichen Anhänge öffnen und die Makroausführung aktivieren.
Der Besitz einer offiziellen, aktuellen Kopie des Windows-Betriebssystems gibt uns ein gewisses Maß an Sicherheit, wenn man bedenkt, dass wir regelmäßig Sicherheitsupdates erhalten.
Aber haben Sie jemals daran gedacht, dass die Updates selbst eines Tages gegen uns verwendet werden könnten? Nun, es scheint, als wäre dieser Tag endlich gekommen, und Experten warnen uns vor den möglichen Auswirkungen.
Kürzlich gelang es der nordkoreanischen Hacking-Gruppe namens Lazarus, den Windows Update-Client zu verwenden, um bösartigen Code auf Windows-Systemen auszuführen.
Eine nordkoreanische Hackergruppe hat Windows-Updates kompromittiert
Jetzt fragen Sie sich wahrscheinlich, unter welchen Umständen dieses neueste ausgeklügelte Cyberangriffsschema aufgedeckt wurde.
Das Malwarebytes Threat Intelligence-Team tat dies, als es eine Spearphishing-Kampagne vom Januar analysierte, die sich als das amerikanische Sicherheits- und Luft- und Raumfahrtunternehmen Lockheed Martin ausgab.
Angreifer, die diese Kampagne instrumentalisierten, stellten sicher, dass, nachdem die Opfer die bösartigen Anhänge geöffnet und die Makroausführung aktiviert hatten, eine Das eingebettete Makro legt eine WindowsUpdateConf.lnk-Datei im Startordner und eine DLL-Datei (wuaueng.dll) in einem versteckten Windows/System32 ab Mappe.
Als nächstes wird die LNK-Datei verwendet, um den WSUS / Windows Update-Client (wuauclt.exe) zu starten, um einen Befehl auszuführen, der die bösartige DLL des Angreifers lädt.
Das Team, das hinter der Aufdeckung dieser Angriffe steht, hat sie auf der Grundlage vorhandener Beweise, einschließlich Infrastrukturüberschneidungen, Dokumentmetadaten und ähnlicher Ausrichtung wie bei früheren Kampagnen, mit Lazarus in Verbindung gebracht.
Lazarus aktualisiert sein Toolset ständig, um Sicherheitsmechanismen zu umgehen, und wird dies sicherlich auch weiterhin tun, indem es Techniken wie die Verwendung von verwendet KernelCallbackTable um den Kontrollfluss und die Shellcode-Ausführung zu entführen.
Kombinieren Sie dies mit der Verwendung des Windows Update-Clients zur Ausführung von bösartigem Code zusammen mit GitHub für die C2-Kommunikation, und Sie haben das Rezept für eine vollständige und völlige Katastrophe.
Jetzt, da Sie wissen, dass diese Bedrohung real ist, können Sie mehr Sicherheitsvorkehrungen treffen und vermeiden, Opfer böswilliger Dritter zu werden.
Wurde Ihr Computer jemals durch ein Windows-Update mit gefährlicher Malware infiziert? Teilen Sie Ihre Erfahrungen mit uns im Kommentarbereich unten.
