- Microsoft uporablja posodobitve sistema Windows za krepitev obrambe naših sistemov.
- Vendar pa bi morda želeli vedeti, da tudi te posodobitve niso več varne za uporabo.
- Hekerski skupini Lazarus, ki jo podpira Severna Koreja, jih je uspelo ogroziti.
- Vse, kar morajo žrtve, je odpreti zlonamerne priloge in omogočiti izvajanje makra.
Lastništvo uradne, posodobljene kopije operacijskega sistema Windows nam zagotavlja določeno stopnjo varnosti, glede na to, da redno prejemamo varnostne posodobitve.
Toda ali ste kdaj pomislili, da bi lahko same posodobitve nekega dne uporabili proti nam? No, zdi se, da je ta dan končno prišel in strokovnjaki nas opozarjajo na možne posledice.
Nedavno je severnokorejski hekerski skupini Lazarus uspelo uporabiti odjemalca Windows Update za izvajanje zlonamerne kode v sistemih Windows.
Severnokorejska hekerska skupina je ogrozila posodobitve sistema Windows
Zdaj se verjetno sprašujete, v kakšnih okoliščinah je bila odkrita ta najnovejša genialna shema kibernetskega napada.
Ekipa Malwarebytes Threat Intelligence je to storila, medtem ko je analizirala januarsko kampanjo spearphishing, ki je predstavljala ameriško varnostno in vesoljsko podjetje Lockheed Martin.
Napadalci, ki so izvajali to akcijo, so poskrbeli, da je po tem, ko žrtve odprejo zlonamerne priloge in omogočijo izvajanje makrov, vdelani makro spusti datoteko WindowsUpdateConf.lnk v zagonsko mapo in datoteko DLL (wuaueng.dll) v skrito Windows/System32 mapo.
Naslednji korak je uporaba datoteke LNK za zagon odjemalca WSUS/Windows Update (wuauclt.exe) za izvedbo ukaza, ki naloži zlonamerno DLL napadalca.
Ekipa, ki je odkrila te napade, jih je povezala z Lazarusom na podlagi obstoječih dokazov, vključno s prekrivanjem infrastrukture, metapodatki dokumentov in ciljanjem, podobnim prejšnjim kampanjam.
Lazarus nenehno posodablja svoj nabor orodij, da bi se izognil varnostnim mehanizmom, in bo to zagotovo še naprej počel z uporabo tehnik, kot je uporaba KernelCallbackTable za ugrabitev nadzornega toka in izvedbe shellcode.
Povežite to z uporabo odjemalca Windows Update za izvajanje zlonamerne kode, skupaj z GitHubom za komunikacijo C2, in dobite recept za popolno in popolno katastrofo.
Zdaj, ko veste, da je ta grožnja resnična, lahko sprejmete več varnostnih ukrepov in preprečite, da postanete žrtev zlonamernih tretjih oseb.
Ali je bil vaš stroj kdaj okužen z nevarno zlonamerno programsko opremo prek posodobitve sistema Windows? Delite svoje izkušnje z nami v spodnjem razdelku za komentarje.
