Обновления Windows используются хакерами Lazarus для распространения вредоносных программ

  • Обновления Windows используются Microsoft для усиления защиты наших систем.
  • Однако вы, возможно, захотите узнать, что даже эти обновления больше небезопасны для использования.
  • Хакерской группе Lazarus, поддерживаемой Северной Кореей, удалось взломать их.
  • Все, что нужно сделать жертве, — это открыть вредоносные вложения и включить выполнение макроса.
Центр обновления Windows

Наличие официальной актуальной копии операционной системы Windows дает нам определенную степень безопасности, учитывая, что мы регулярно получаем обновления безопасности.

Но задумывались ли вы когда-нибудь, что сами обновления однажды могут быть использованы против нас? Что ж, похоже, этот день наконец настал, и эксперты предупреждают нас о возможных последствиях.

Недавно северокорейской хакерской группе под названием Lazarus удалось использовать клиент Центра обновления Windows для выполнения вредоносного кода в системах Windows.

Северокорейская хакерская группа скомпрометировала обновления Windows

Теперь вам, наверное, интересно, при каких обстоятельствах была раскрыта эта последняя хитроумная схема кибератаки.

Команда Malwarebytes Threat Intelligence сделала это при анализе январской кампании целевого фишинга, выдаваемой за американскую компанию по безопасности и аэрокосмической отрасли Lockheed Martin.

Злоумышленники, проводившие эту кампанию, позаботились о том, чтобы после того, как жертвы открыли вредоносные вложения и включили выполнение макроса, встроенный макрос сбрасывает файл WindowsUpdateConf.lnk в папку автозагрузки и файл DLL (wuaueng.dll) в скрытую папку Windows/System32. папка.

Следующий шаг предназначен для использования файла LNK для запуска клиента WSUS/Windows Update (wuauclt.exe) для выполнения команды, которая загружает вредоносную DLL злоумышленников.

Источник: Malwarebytes

Команда, которая раскрыла эти атаки, связала их с Lazarus на основе существующих доказательств, включая дублирование инфраструктуры, метаданные документов и таргетинг, аналогичный предыдущим кампаниям.

Lazarus постоянно обновляет свой набор инструментов, чтобы обойти механизмы безопасности, и, несомненно, продолжит это делать, используя такие методы, как использование KernelCallbackTable для перехвата потока управления и выполнения шелл-кода.

Соедините это с использованием клиента Центра обновления Windows для выполнения вредоносного кода, а также GitHub для связи с C2, и вы получите рецепт полной и абсолютной катастрофы.

Теперь, когда вы знаете, что эта угроза реальна, вы можете принять дополнительные меры предосторожности и не стать жертвой злоумышленников.

Ваш компьютер когда-либо был заражен опасным вредоносным ПО через обновление Windows? Поделитесь с нами своим опытом в разделе комментариев ниже.

Сохранение паролей в браузере - худшая идея, чем вы думали

Сохранение паролей в браузере - худшая идея, чем вы думалиВредоносное ПО

Большинству из нас удобно хранить наши учетные данные в наших браузерах.Однако эта, казалось бы, безобидная вещь окажется плохим решением.Злоумышленники, использующие вредоносные программы RedLing,...

Читать далее
Как копирование и вставка могут доставить вам больше проблем, чем вы думаете

Как копирование и вставка могут доставить вам больше проблем, чем вы думаетеВредоносное ПО

Мы все ежедневно копируем и вставляем данные из Интернета, даже не подозревая о рисках.Эксперт по безопасности нашел время, чтобы показать всем худший вариант развития событий.Вставка команд, получ...

Читать далее
Будьте осторожны при установке Telegram, вы также можете получить вредоносное ПО Purple Fox.

Будьте осторожны при установке Telegram, вы также можете получить вредоносное ПО Purple Fox.Вредоносное ПО

В настоящее время многие люди используют Telegram как более безопасное средство общения. Но вся эта конфиденциальность может дорого обойтись, если мы не будем обращать внимание на знаки.Установщик ...

Читать далее