- Windows Updateは、システムの防御を強化するためにMicrosoftによって使用されます。
- ただし、これらの更新でさえ安全に使用できなくなったことを知りたい場合があります。
- ラザロと呼ばれる北朝鮮の支援を受けたハッカーグループは、なんとか彼らを危険にさらしました。
- 被害者がしなければならないのは、悪意のある添付ファイルを開いてマクロの実行を有効にすることだけです。
Windowsオペレーティングシステムの公式の最新コピーを所有することで、定期的にセキュリティ更新プログラムを入手することを考えると、ある程度の安全性が得られます。
しかし、アップデート自体がいつか私たちに対して使用される可能性があると思ったことはありますか? さて、ついにその日が来たようで、専門家は考えられる影響について私たちに警告します。
最近、Lazarusと呼ばれる北朝鮮のハッキンググループがWindowsUpdateクライアントを使用してWindowsシステムで悪意のあるコードを実行することに成功しました。
北朝鮮のハッカーグループがWindowsUpdateを侵害した
さて、あなたはおそらく、この最新の独創的なサイバー攻撃計画がどのような状況で発見されたのか疑問に思っているでしょう。
Malwarebytes Threat Intelligenceチームは、アメリカのセキュリティおよび航空宇宙企業であるロッキードマーティンになりすました1月のスピアフィッシングキャンペーンを分析しました。
このキャンペーンを仕掛ける攻撃者は、被害者が悪意のある添付ファイルを開いてマクロの実行を有効にした後、 埋め込みマクロは、WindowsUpdateConf.lnkファイルをスタートアップフォルダーにドロップし、DLLファイル(wuaueng.dll)を非表示のWindows / System32にドロップします フォルダ。
次の連鎖球菌は、LNKファイルを使用してWSUS / Windows Updateクライアント(wuauclt.exe)を起動し、攻撃者の悪意のあるDLLをロードするコマンドを実行するためのものです。
これらの攻撃を発見した背後にあるチームは、インフラストラクチャの重複、ドキュメントメタデータ、以前のキャンペーンと同様のターゲティングなど、既存の証拠に基づいて攻撃をLazarusにリンクしました。
Lazarusは、セキュリティメカニズムを回避するためにツールセットを更新し続けており、 KernelCallbackTable 制御フローとシェルコードの実行を乗っ取るため。
これを、悪意のあるコードを実行するためのWindows Updateクライアントの使用と、C2通信のためのGitHubの使用と組み合わせると、完全で完全な災害のレシピが得られます。
この脅威が現実のものであることがわかったので、より安全な予防策を講じて、悪意のある第三者の犠牲になることを回避できます。
あなたのマシンは、Windows Updateを通じて危険なマルウェアに感染したことがありますか? 以下のコメントセクションで私たちとあなたの経験を共有してください。
