- A Windows frissítéseket a Microsoft a rendszereink védelmének erősítésére használja.
- Érdemes azonban tudni, hogy még ezek a frissítések sem biztonságosak többé.
- A Lazarus nevű észak-koreai hackercsoportnak sikerült kompromittálnia őket.
- Az áldozatoknak csak megnyitniuk kell a rosszindulatú mellékleteket, és engedélyezniük kell a makró végrehajtását.
A Windows operációs rendszer hivatalos, naprakész példányának birtoklása bizonyos fokú biztonságot ad számunkra, tekintve, hogy rendszeresen kapunk biztonsági frissítéseket.
De gondoltál már arra, hogy magukat a frissítéseket egy napon felhasználhatják ellenünk? Nos, úgy tűnik, végre eljött ez a nap, és a szakértők figyelmeztetnek bennünket a lehetséges következményekre.
Nemrég a Lazarus nevű észak-koreai hackercsoportnak sikerült a Windows Update kliens segítségével rosszindulatú kódokat futtatnia Windows rendszereken.
Az észak-koreai hackercsoport feltörte a Windows frissítéseket
Most valószínűleg azon tűnődsz, milyen körülmények között tárták fel ezt a legújabb zseniális kibertámadási rendszert.
A Malwarebytes Threat Intelligence csapata ezt tette, miközben elemezte a januári adathalász kampányt, amely a Lockheed Martin amerikai biztonsági és űrkutatási vállalatot adja meg.
A kampányt irányító támadók gondoskodtak arról, hogy miután az áldozatok megnyitották a rosszindulatú mellékleteket és engedélyezték a makró végrehajtását, A beágyazott makró eldob egy WindowsUpdateConf.lnk fájlt az indítási mappába és egy DLL fájlt (wuaueng.dll) egy rejtett Windows/System32 mappába mappát.
A következő lépés az LNK-fájl használata a WSUS/Windows Update kliens (wuauclt.exe) elindításához, hogy végrehajtson egy parancsot, amely betölti a támadók rosszindulatú DLL-jét.
A támadások felderítéséért felelős csapat meglévő bizonyítékok, köztük az infrastruktúra átfedések, a dokumentumok metaadatai és a korábbi kampányokhoz hasonló célzások alapján összekapcsolta őket a Lazarusszal.
A Lazarus folyamatosan frissíti eszköztárát, hogy kikerülje a biztonsági mechanizmusokat, és minden bizonnyal továbbra is ezt fogja tenni olyan technikák alkalmazásával, mint a KernelCallbackTable a vezérlőfolyam és a shellkód végrehajtásának eltérítéséhez.
Párosítsa ezt a Windows Update kliens rosszindulatú kódfuttatáshoz való használatával, valamint a GitHub a C2 kommunikációhoz, és megvan a recept a teljes és teljes katasztrófához.
Most, hogy tudja, hogy ez a fenyegetés valós, több biztonsági óvintézkedést tehet, és elkerülheti, hogy rosszindulatú harmadik felek áldozatává váljon.
Megfertőződött már a számítógépe veszélyes rosszindulatú programokkal Windows frissítésen keresztül? Ossza meg velünk tapasztalatait az alábbi megjegyzések részben.
