- Microsoft izmanto Windows atjauninājumus, lai stiprinātu mūsu sistēmu aizsardzību.
- Tomēr, iespējams, vēlēsities zināt, ka pat šos atjauninājumus vairs nav droši lietot.
- Ziemeļkorejas atbalstītajai hakeru grupai Lazarus izdevās viņus kompromitēt.
- Viss, kas cietušajiem ir jādara, ir jāatver ļaunprātīgie pielikumi un jāiespējo makro izpilde.
Ja mums pieder oficiāla, atjaunināta Windows operētājsistēmas kopija, mēs varam nodrošināt zināmu drošību, ņemot vērā to, ka mēs regulāri saņemam drošības atjauninājumus.
Bet vai esat kādreiz domājis, ka paši atjauninājumi kādu dienu varētu tikt izmantoti pret mums? Šķiet, ka šī diena beidzot ir pienākusi, un eksperti mūs brīdina par iespējamām sekām.
Nesen Ziemeļkorejas hakeru grupai Lazarus izdevās izmantot Windows Update klientu, lai Windows sistēmās izpildītu ļaunprātīgu kodu.
Ziemeļkorejas hakeru grupa kompromitēja Windows atjauninājumus
Tagad jūs droši vien domājat, kādos apstākļos tika atklāta šī jaunākā ģeniālā kiberuzbrukumu shēma.
Malwarebytes Threat Intelligence komanda to izdarīja, analizējot janvāra slepeno pikšķerēšanas kampaņu, kas uzdodas par amerikāņu drošības un kosmosa uzņēmumu Lockheed Martin.
Uzbrucēji, kas organizēja šo kampaņu, pārliecinājās, ka pēc tam, kad upuri ir atvēruši ļaunprātīgos pielikumus un iespējojuši makro izpildi, iegultais makro nolaiž WindowsUpdateConf.lnk failu startēšanas mapē un DLL failu (wuaueng.dll) slēptā Windows/System32 mapi.
Nākamais solis ir LNK fails, kas jāizmanto, lai palaistu WSUS/Windows Update klientu (wuauclt.exe), lai izpildītu komandu, kas ielādē uzbrucēju ļaunprātīgo DLL.
Šo uzbrukumu atklāšanas komanda saistīja tos ar Lazarus, pamatojoties uz esošajiem pierādījumiem, tostarp infrastruktūras pārklāšanos, dokumentu metadatiem un mērķauditorijas atlasi, kas ir līdzīga iepriekšējām kampaņām.
Lazarus turpina atjaunināt savu rīku komplektu, lai izvairītos no drošības mehānismiem, un noteikti turpinās to darīt, izmantojot tādas metodes kā KernelCallback tabula lai nolaupītu vadības plūsmu un čaulas koda izpildi.
Savienojiet to ar Windows atjaunināšanas klienta izmantošanu ļaunprātīga koda izpildei, kā arī GitHub C2 saziņai, un jums ir recepte pilnīgai un pilnīgai katastrofai.
Tagad, kad zināt, ka šie draudi ir reāli, varat veikt vairāk drošības pasākumu un izvairīties no ļaunprātīgu trešo pušu upuriem.
Vai jūsu dators kādreiz ir bijis inficēts ar bīstamu ļaunprātīgu programmatūru, izmantojot Windows atjauninājumu? Dalieties pieredzē ar mums komentāru sadaļā zemāk.
