- Pembaruan Windows digunakan oleh Microsoft untuk memperkuat pertahanan sistem kami.
- Namun, Anda mungkin ingin tahu bahwa pembaruan ini pun tidak lagi aman untuk digunakan.
- Sebuah kelompok hacker yang didukung Korea Utara bernama Lazarus berhasil mengkompromikan mereka.
- Semua korban harus lakukan adalah membuka lampiran berbahaya dan mengaktifkan eksekusi makro.
Memiliki salinan resmi dan terbaru dari sistem operasi Windows memberi kami tingkat keamanan tertentu, mengingat kami mendapatkan pembaruan keamanan secara teratur.
Tetapi pernahkah Anda berpikir, bahwa pembaruan itu sendiri dapat digunakan untuk melawan kita suatu hari nanti? Yah, sepertinya hari itu akhirnya tiba, dan para ahli memperingatkan kita tentang kemungkinan implikasinya.
Baru-baru ini, grup peretas Korea Utara bernama Lazarus berhasil menggunakan klien Pembaruan Windows untuk mengeksekusi kode berbahaya pada sistem Windows.
Grup peretas Korea Utara mengkompromikan Pembaruan Windows
Sekarang, Anda mungkin bertanya-tanya dalam situasi apa skema serangan siber terbaru yang cerdik ini terungkap.
Tim Malwarebytes Threat Intelligence melakukannya, saat menganalisis kampanye spearphishing Januari yang meniru perusahaan keamanan dan kedirgantaraan Amerika Lockheed Martin.
Penyerang yang menggunakan kampanye ini memastikan bahwa, setelah korban membuka lampiran berbahaya dan mengaktifkan eksekusi makro, dan makro tertanam menjatuhkan file WindowsUpdateConf.lnk di folder startup dan file DLL (wuaueng.dll) di Windows/System32 tersembunyi map.
Langkah selanjutnya adalah file LNK yang akan digunakan digunakan untuk meluncurkan klien WSUS / Windows Update (wuauclt.exe) untuk menjalankan perintah yang memuat DLL berbahaya penyerang.
Tim di balik pengungkapan serangan ini menghubungkannya dengan Lazarus berdasarkan bukti yang ada, termasuk infrastruktur yang tumpang tindih, metadata dokumen, dan penargetan yang serupa dengan kampanye sebelumnya.
Lazarus terus memperbarui perangkatnya untuk menghindari mekanisme keamanan dan pasti akan terus melakukannya, dengan menggunakan teknik seperti penggunaan KernelCallbackTabel untuk membajak aliran kontrol dan eksekusi shellcode.
Pasangkan itu dengan penggunaan klien Pembaruan Windows untuk eksekusi kode berbahaya, bersama dengan GitHub untuk komunikasi C2, dan Anda memiliki resep untuk bencana yang lengkap dan total.
Sekarang setelah Anda mengetahui bahwa ancaman ini nyata, Anda dapat mengambil lebih banyak tindakan pencegahan keamanan dan menghindari menjadi korban pihak ketiga yang jahat.
Apakah mesin Anda pernah terinfeksi malware berbahaya melalui pembaruan Windows? Bagikan pengalaman Anda dengan kami di bagian komentar di bawah.
![5+ perangkat lunak pendeteksi penyusupan terbaik [IDS Tools]](/f/97253b0fd53b21b06be0b802ca6d5ab6.jpg?width=300&height=460)
