- Windows-uppdateringar används av Microsoft för att stärka försvaret av våra system.
- Men du kanske vill veta att även dessa uppdateringar inte längre är säkra att använda.
- En nordkoreansk-stödd hackergrupp vid namn Lazarus lyckades äventyra dem.
- Allt offren behöver göra är att öppna de skadliga bilagorna och aktivera makroexekvering.
Att äga en officiell, uppdaterad kopia av Windows-operativsystemet ger oss en viss grad av säkerhet, med tanke på att vi får säkerhetsuppdateringar regelbundet.
Men har du någonsin tänkt på att själva uppdateringarna skulle kunna användas mot oss en dag? Tja, det verkar som att den dagen äntligen har kommit, och experter varnar oss för de möjliga konsekvenserna.
Nyligen lyckades den nordkoreanska hackergruppen Lazarus använda Windows Update-klienten för att exekvera skadlig kod på Windows-system.
Den nordkoreanska hackergruppen har äventyrat Windows Updates
Nu undrar du förmodligen under vilka omständigheter detta senaste geniala cyberattacksschema avslöjades.
Malwarebytes Threat Intelligence-team gjorde det, samtidigt som de analyserade en spearphishing-kampanj i januari som imiterade det amerikanska säkerhets- och flygföretaget Lockheed Martin.
Angripare som instrumenterade denna kampanj såg till att, efter att offren öppnat de skadliga bilagorna och aktiverat makroexekvering, en inbäddat makro släpper en WindowsUpdateConf.lnk-fil i startmappen och en DLL-fil (wuaueng.dll) i en dold Windows/System32 mapp.
Nästa steg är att LNK-filen ska användas för att starta WSUS / Windows Update-klienten (wuauclt.exe) för att köra ett kommando som laddar angriparnas skadliga DLL.
Teamet bakom att avslöja dessa attacker länkade dem till Lazarus baserat på befintliga bevis, inklusive infrastrukturöverlappningar, dokumentmetadata och inriktning liknande tidigare kampanjer.
Lazarus fortsätter att uppdatera sin verktygsuppsättning för att undvika säkerhetsmekanismer och kommer säkerligen att fortsätta att göra det genom att använda tekniker som KernelCallbackTable för att kapa kontrollflödet och exekvering av skalkod.
Kombinera det med användningen av Windows Update-klienten för exekvering av skadlig kod, tillsammans med GitHub för C2-kommunikation, och du har receptet för en fullständig och total katastrof.
Nu när du vet att detta hot är verkligt kan du vidta fler säkerhetsåtgärder och undvika att falla offer för illvilliga tredje parter.
Har din maskin någonsin blivit infekterad med farlig skadlig programvara genom en Windows-uppdatering? Dela din upplevelse med oss i kommentarsfältet nedan.
