- Оновлення Windows використовуються Microsoft для посилення захисту наших систем.
- Однак ви можете знати, що навіть ці оновлення більше не безпечні у використанні.
- Підтримувана Північною Кореєю хакерська група під назвою Lazarus зуміла їх скомпрометувати.
- Все, що жертви повинні зробити, це відкрити шкідливі вкладення та увімкнути виконання макросу.
Володіння офіційною, оновленою копією операційної системи Windows дає нам певний рівень безпеки, враховуючи, що ми регулярно отримуємо оновлення безпеки.
Але ви коли-небудь думали, що самі оновлення можуть бути використані проти нас? Що ж, здається, що той день нарешті настав, і експерти попереджають нас про можливі наслідки.
Нещодавно північнокорейській хакерській групі під назвою Lazarus вдалося використовувати клієнт Windows Update для виконання шкідливого коду в системах Windows.
Північнокорейська хакерська група зламала оновлення Windows
Тепер вам, напевно, цікаво, за яких обставин була розкрита ця остання геніальна схема кібератаки.
Команда Malwarebytes Threat Intelligence це зробила під час аналізу січневої фішингової кампанії, яка видавала себе за американську компанію безпеки та аерокосмічної компанії Lockheed Martin.
Зловмисники, які використовували цю кампанію, переконалися, що після того, як жертви відкриють шкідливі вкладення та увімкнуть виконання макросу, вбудований макрос скидає файл WindowsUpdateConf.lnk у папку запуску та файл DLL (wuaueng.dll) у приховану Windows/System32 папку.
Наступним кроком є використання файлу LNK для запуску клієнта WSUS / Windows Update (wuauclt.exe) для виконання команди, яка завантажує шкідливу DLL зловмисників.
Команда, яка розкривала ці атаки, пов’язала їх із Lazarus на основі наявних доказів, включаючи перекриття інфраструктури, метадані документів та націлювання, подібне до попередніх кампаній.
Lazarus продовжує оновлювати свій набір інструментів, щоб уникнути механізмів безпеки, і, безсумнівно, продовжуватиме це робити, використовуючи такі методи, як використання KernelCallbackTable щоб захопити потік керування та виконання шелл-коду.
Поєднайте це з використанням клієнта Windows Update для виконання шкідливого коду разом із GitHub для зв’язку C2, і ви отримаєте рецепт повної та повної катастрофи.
Тепер, коли ви знаєте, що ця загроза реальна, ви можете вживати більше заходів безпеки та не стати жертвою зловмисних третіх сторін.
Чи заражався ваш комп’ютер коли-небудь небезпечним шкідливим програмним забезпеченням через оновлення Windows? Поділіться з нами своїм досвідом у розділі коментарів нижче.
