עדכוני Windows משמשים להפצת תוכנות זדוניות על ידי האקרים של Lazarus

בעלות על עותק רשמי ועדכני של מערכת ההפעלה Windows מקנה לנו מידה מסוימת של בטיחות, בהתחשב בכך שאנו מקבלים עדכוני אבטחה על בסיס קבוע.

אבל האם אי פעם חשבתם שהעדכונים עצמם יכולים לשמש נגדנו יום אחד? ובכן, נראה שהיום הזה סוף סוף הגיע, ומומחים מזהירים אותנו לגבי ההשלכות האפשריות.

לאחרונה, קבוצת הפריצה הצפון קוריאנית בשם Lazarus הצליחה להשתמש בלקוח Windows Update כדי להפעיל קוד זדוני במערכות Windows.

קבוצת האקרים צפון קוריאנית התפשרה על עדכוני Windows

כעת, אתם בוודאי תוהים באילו נסיבות נחשפה תוכנית התקפת הסייבר הגאונית האחרונה הזו.

צוות Malwarebytes Threat Intelligence עשה זאת, תוך כדי ניתוח מסע פרסום בינואר המתחזה לחברת האבטחה והתעופה האמריקאית לוקהיד מרטין.

תוקפים שמכינים את הקמפיין הזה דאגו שאחרי שהקורבנות יפתחו את הקבצים המצורפים הזדוניים ויאפשרו ביצוע מאקרו, מאקרו מוטבע מוריד קובץ WindowsUpdateConf.lnk בתיקיית האתחול וקובץ DLL (wuaueng.dll) בקובץ Windows/System32 מוסתר תיקייה.

השלב הבא הוא השימוש בקובץ LNK כדי להפעיל את לקוח WSUS / Windows Update (wuauclt.exe) כדי לבצע פקודה שטוענת DLL זדוני של התוקפים.

הצוות שמאחורי חשיפת ההתקפות הללו קישר אותן ללזרוס בהתבסס על ראיות קיימות, כולל חפיפות תשתיות, מטא נתונים של מסמכים ומיקוד בדומה לקמפיינים קודמים.

לזרוס ממשיך לעדכן את ערכת הכלים שלו כדי להתחמק ממנגנוני אבטחה ולבטח ימשיך לעשות זאת, על ידי שימוש בטכניקות כמו שימוש ב- KernelCallbackTable כדי לחטוף את זרימת הבקרה וביצוע קוד מעטפת.

חבר את זה עם השימוש בלקוח Windows Update לביצוע קוד זדוני, יחד עם GitHub לתקשורת C2, ויש לך את המתכון לאסון מוחלט ומוחלט.

עכשיו כשאתה יודע שהאיום הזה אמיתי, אתה יכול לנקוט באמצעי זהירות נוספים ולהימנע מליפול קורבן לצדדים שלישיים זדוניים.

האם המחשב שלך נדבק אי פעם בתוכנה זדונית מסוכנת דרך עדכון Windows? שתף אותנו בחוויה שלך בקטע ההערות למטה.