- Aktualizacje systemu Windows są używane przez firmę Microsoft w celu wzmocnienia ochrony naszych systemów.
- Możesz jednak chcieć wiedzieć, że nawet te aktualizacje nie są już bezpieczne w użyciu.
- Wspierana przez Koreę Północną grupa hakerów o nazwie Lazarus zdołała ich skompromitować.
- Wszystko, co ofiary muszą zrobić, to otworzyć złośliwe załączniki i włączyć wykonywanie makr.
Posiadanie oficjalnej, aktualnej kopii systemu operacyjnego Windows zapewnia nam pewien stopień bezpieczeństwa, biorąc pod uwagę, że regularnie otrzymujemy aktualizacje zabezpieczeń.
Ale czy kiedykolwiek pomyślałeś, że same aktualizacje mogą być kiedyś użyte przeciwko nam? Wygląda na to, że ten dzień w końcu nadszedł, a eksperci ostrzegają nas przed możliwymi implikacjami.
Niedawno północnokoreańska grupa hakerska o nazwie Lazarus zdołała wykorzystać klienta Windows Update do wykonania złośliwego kodu w systemach Windows.
Północnokoreańska grupa hakerów zhakowała aktualizacje systemu Windows
Teraz prawdopodobnie zastanawiasz się, w jakich okolicznościach wykryto ten najnowszy genialny schemat cyberataku.
Zespół Malwarebytes Threat Intelligence przeprowadził analizę styczniowej kampanii spearphishingu podszywającej się pod amerykańską firmę ochroniarską i kosmiczną Lockheed Martin.
Osoby atakujące wykorzystujące tę kampanię upewniły się, że po otwarciu przez ofiary złośliwych załączników i umożliwieniu wykonania makr, osadzone makro upuszcza plik WindowsUpdateConf.lnk w folderze startowym i plik DLL (wuaueng.dll) w ukrytym systemie Windows/System32 teczka.
Następnym krokiem jest użycie pliku LNK do uruchomienia klienta WSUS / Windows Update (wuauclt.exe) w celu wykonania polecenia, które ładuje złośliwą bibliotekę DLL atakujących.
Zespół odpowiedzialny za ujawnienie tych ataków połączył je z Lazarusem na podstawie istniejących dowodów, w tym nakładania się infrastruktury, metadanych dokumentów i kierowania podobnego do poprzednich kampanii.
Lazarus stale aktualizuje swój zestaw narzędzi w celu obejścia mechanizmów bezpieczeństwa i na pewno będzie to kontynuował, stosując techniki takie jak użycie Tabela wywołań zwrotnych jądra przejąć kontrolę nad przepływem sterowania i wykonaniem szelkodu.
Połącz to z wykorzystaniem klienta Windows Update do wykonywania złośliwego kodu oraz GitHub do komunikacji C2, a otrzymasz przepis na kompletną i kompletną katastrofę.
Teraz, gdy wiesz, że to zagrożenie jest realne, możesz podjąć więcej środków ostrożności i uniknąć padania ofiarą złośliwych stron trzecich.
Czy Twój komputer został kiedykolwiek zainfekowany niebezpiecznym złośliwym oprogramowaniem poprzez aktualizację systemu Windows? Podziel się z nami swoim doświadczeniem w sekcji komentarzy poniżej.
