- Microsoft käyttää Windows-päivityksiä järjestelmiensä suojan vahvistamiseen.
- Haluat kuitenkin tietää, että edes nämä päivitykset eivät ole enää turvallisia käyttää.
- Pohjois-Korean tukema hakkeriryhmä Lazarus onnistui saamaan heidät kompromissiin.
- Uhrien tarvitsee vain avata haitalliset liitteet ja ottaa makron suorittaminen käyttöön.
Virallisen, ajantasaisen Windows-käyttöjärjestelmän kopion omistaminen antaa meille tietyn tason turvallisuutta, kun otetaan huomioon, että saamme tietoturvapäivityksiä säännöllisesti.
Mutta oletko koskaan ajatellut, että itse päivityksiä voitaisiin jonakin päivänä käyttää meitä vastaan? No, näyttää siltä, että se päivä on vihdoin koittanut, ja asiantuntijat varoittavat meitä mahdollisista seurauksista.
Äskettäin pohjoiskorealainen hakkerointiryhmä nimeltä Lazarus onnistui käyttämään Windows Update -asiakasohjelmaa haitallisen koodin suorittamiseen Windows-järjestelmissä.
Pohjois-Korean hakkeriryhmä vaaransi Windows-päivitykset
Nyt luultavasti ihmettelet, missä olosuhteissa tämä uusin nerokas kyberhyökkäysjärjestelmä paljastettiin.
Malwarebytes Threat Intelligence -tiimi teki sen analysoidessaan tammikuun phishing-kampanjaa, joka jäljitteli amerikkalaista turvallisuus- ja ilmailualan yritystä Lockheed Martinia.
Tätä kampanjaa instrumentoivat hyökkääjät varmistivat, että sen jälkeen kun uhrit avasivat haitalliset liitteet ja ottavat käyttöön makron suorittamisen, upotettu makro pudottaa WindowsUpdateConf.lnk-tiedoston käynnistyskansioon ja DLL-tiedoston (wuaueng.dll) piilotettuun Windows/System32-järjestelmään kansio.
Seuraava vaihe on, että LNK-tiedostoa käytetään käynnistämään WSUS / Windows Update -asiakas (wuauclt.exe) suorittamaan komennon, joka lataa hyökkääjien haitallisen DLL: n.
Näiden hyökkäysten paljastamisen taustalla oleva tiimi yhdisti ne Lazarukseen olemassa olevien todisteiden perusteella, mukaan lukien infrastruktuurin päällekkäisyydet, dokumenttien metatiedot ja aikaisempien kampanjoiden kaltaiset kohdistukset.
Lazarus päivittää jatkuvasti työkalujaan välttääkseen turvamekanismit ja tekee niin varmasti jatkossakin käyttämällä tekniikoita, kuten KernelCallback-taulukko kaapata ohjausvirran ja shellkoodin suorittamisen.
Yhdistä tämä Windows Update -asiakkaan käyttöön haitallisen koodin suorittamiseen sekä GitHubin C2-viestintään, niin sinulla on resepti täydelliseen ja täydelliseen katastrofiin.
Nyt kun tiedät tämän uhan olevan todellinen, voit ryhtyä enemmän varotoimiin ja välttää joutumasta haitallisten kolmansien osapuolten uhriksi.
Onko koneesi koskaan saastunut vaarallisilla haittaohjelmilla Windows-päivityksen kautta? Jaa kokemuksesi kanssamme alla olevassa kommenttiosiossa.
