- Windows-oppdateringer brukes av Microsoft for å styrke forsvaret av systemene våre.
- Imidlertid vil du kanskje vite at selv disse oppdateringene ikke lenger er trygge å bruke.
- En nordkoreansk-støttet hackergruppe kalt Lazarus klarte å kompromittere dem.
- Alt ofrene trenger å gjøre er å åpne de ondsinnede vedleggene og aktivere makrokjøring.
Å eie en offisiell, oppdatert kopi av Windows-operativsystemet gir oss en viss grad av sikkerhet, med tanke på at vi får sikkerhetsoppdateringer med jevne mellomrom.
Men har du noen gang tenkt på at selve oppdateringene kunne bli brukt mot oss en dag? Vel, det ser ut til at den dagen endelig har kommet, og eksperter advarer oss om mulige implikasjoner.
Nylig klarte den nordkoreanske hackergruppen Lazarus å bruke Windows Update-klienten til å kjøre ondsinnet kode på Windows-systemer.
Den nordkoreanske hackergruppen kompromitterte Windows-oppdateringer
Nå lurer du sikkert på i hvilke omstendigheter denne siste geniale nettangrepsordningen ble avdekket.
Malwarebytes Threat Intelligence-teamet gjorde det, mens de analyserte en spearphishing-kampanje i januar som etterlignet det amerikanske sikkerhets- og romfartsselskapet Lockheed Martin.
Angripere som instrumenterte denne kampanjen sørget for at, etter at ofrene åpnet de ondsinnede vedleggene og muliggjorde makrokjøring, innebygd makro slipper en WindowsUpdateConf.lnk-fil i oppstartsmappen og en DLL-fil (wuaueng.dll) i en skjult Windows/System32 mappe.
Neste strep er at LNK-filen skal brukes til å starte WSUS / Windows Update-klienten (wuauclt.exe) for å utføre en kommando som laster angripernes ondsinnede DLL.
Teamet bak avsløringen av disse angrepene knyttet dem til Lazarus basert på eksisterende bevis, inkludert overlapping av infrastruktur, dokumentmetadata og målretting som ligner på tidligere kampanjer.
Lazarus fortsetter å oppdatere verktøysettet sitt for å unngå sikkerhetsmekanismer og vil helt sikkert fortsette å gjøre det ved å bruke teknikker som bruk av KernelCallbackTable for å kapre kontrollflyten og kjøring av skallkode.
Kombiner det med bruken av Windows Update-klienten for ondsinnet kodekjøring, sammen med GitHub for C2-kommunikasjon, og du har oppskriften på en fullstendig og fullstendig katastrofe.
Nå som du vet at denne trusselen er reell, kan du ta flere sikkerhetstiltak og unngå å bli offer for ondsinnede tredjeparter.
Har maskinen din noen gang blitt infisert med farlig skadelig programvare gjennom en Windows-oppdatering? Del opplevelsen din med oss i kommentarfeltet nedenfor.
![5+ beste innbruddsdeteksjonsprogramvare [IDS Tools]](/f/97253b0fd53b21b06be0b802ca6d5ab6.jpg?width=300&height=460)
