- Οι ενημερώσεις των Windows χρησιμοποιούνται από τη Microsoft για την ενίσχυση της άμυνας των συστημάτων μας.
- Ωστόσο, ίσως θέλετε να γνωρίζετε ότι ακόμη και αυτές οι ενημερώσεις δεν είναι πλέον ασφαλείς στη χρήση.
- Μια ομάδα χάκερ με την υποστήριξη της Βόρειας Κορέας που ονομάζεται Lazarus κατάφερε να τους συμβιβάσει.
- Το μόνο που έχουν να κάνουν τα θύματα είναι να ανοίξουν τα κακόβουλα συνημμένα και να ενεργοποιήσουν την εκτέλεση μακροεντολών.
Η κατοχή ενός επίσημου, ενημερωμένου αντιγράφου του λειτουργικού συστήματος Windows μάς παρέχει έναν ορισμένο βαθμό ασφάλειας, δεδομένου ότι λαμβάνουμε ενημερώσεις ασφαλείας σε τακτική βάση.
Αλλά έχετε σκεφτεί ποτέ, ότι οι ίδιες οι ενημερώσεις θα μπορούσαν να χρησιμοποιηθούν εναντίον μας μια μέρα; Λοιπόν, φαίνεται ότι αυτή η μέρα έφτασε επιτέλους και οι ειδικοί μας προειδοποιούν για τις πιθανές επιπτώσεις.
Πρόσφατα, η βορειοκορεατική ομάδα hacking που ονομάζεται Lazarus κατάφερε να χρησιμοποιήσει το πρόγραμμα-πελάτη του Windows Update για να εκτελέσει κακόβουλο κώδικα σε συστήματα Windows.
Βορειοκορεατική ομάδα χάκερ παραβίασε τις ενημερώσεις των Windows
Τώρα, πιθανότατα αναρωτιέστε σε ποιες συνθήκες αποκαλύφθηκε αυτό το τελευταίο έξυπνο σχέδιο κυβερνοεπίθεσης.
Η ομάδα Malwarebytes Threat Intelligence το έκανε, ενώ ανέλυε μια εκστρατεία ψαρέματος του Ιανουαρίου που υποδύθηκε την αμερικανική εταιρεία ασφάλειας και αεροδιαστημικής Lockheed Martin.
Οι επιτιθέμενοι που οργανώνουν αυτήν την εκστρατεία φρόντισαν ώστε, αφού τα θύματα ανοίξουν τα κακόβουλα συνημμένα και ενεργοποιήσουν την εκτέλεση μακροεντολών, Η ενσωματωμένη μακροεντολή ρίχνει ένα αρχείο WindowsUpdateConf.lnk στον φάκελο εκκίνησης και ένα αρχείο DLL (wuaueng.dll) σε ένα κρυφό Windows/System32 ντοσιέ.
Η επόμενη strep είναι το αρχείο LNK που θα χρησιμοποιηθεί για την εκκίνηση του προγράμματος-πελάτη WSUS / Windows Update (wuauclt.exe) για την εκτέλεση μιας εντολής που φορτώνει το κακόβουλο DLL των εισβολέων.
Η ομάδα πίσω από την αποκάλυψη αυτών των επιθέσεων τις συνέδεσε με το Lazarus με βάση υπάρχοντα στοιχεία, συμπεριλαμβανομένων των επικαλύψεων υποδομών, των μεταδεδομένων εγγράφων και της στόχευσης παρόμοια με προηγούμενες καμπάνιες.
Το Lazarus συνεχίζει να ενημερώνει το σύνολο εργαλείων του για να αποφύγει τους μηχανισμούς ασφαλείας και σίγουρα θα συνεχίσει να το κάνει, χρησιμοποιώντας τεχνικές όπως η χρήση KernelCallbackTable για να παραβιάσετε τη ροή ελέγχου και την εκτέλεση του κώδικα κελύφους.
Συνδυάστε το με τη χρήση του προγράμματος-πελάτη Windows Update για εκτέλεση κακόβουλου κώδικα, μαζί με το GitHub για επικοινωνία C2, και έχετε τη συνταγή για μια πλήρη και απόλυτη καταστροφή.
Τώρα που γνωρίζετε ότι αυτή η απειλή είναι πραγματική, μπορείτε να λάβετε περισσότερες προφυλάξεις ασφαλείας και να αποφύγετε να πέσετε θύματα κακόβουλων τρίτων.
Έχει μολυνθεί ποτέ το μηχάνημά σας με επικίνδυνο κακόβουλο λογισμικό μέσω μιας ενημέρωσης των Windows; Μοιραστείτε την εμπειρία σας μαζί μας στην παρακάτω ενότητα σχολίων.
