Windows 北朝鮮のハッカーがセキュリティソフトウェアをバイパスするために使用するアップデート

Windows UpdateとGitHubは、悪名高いサイバー犯罪グループによるキャンペーンで利用されました。

あなたが知っておくべきこと

  • 北朝鮮の高度な持続的脅威グループLazarusによる新しいキャンペーンが最近発見されました。
  • このキャンペーンでは、スピアフィッシング攻撃の一環としてロッキードマーティンの仕事を装った悪意のある文書を使用しました。
  • ラザルスグループも利用しました Windows セキュリティ検出メカニズムをバイパスするように更新します。

アバスト 最近、Lazarusとして知られる高度な持続的脅威グループ(APT)によって実行されたキャンペーンを発見しました。 キャンペーンでは、ロッキード・マーティンとの雇用機会に関する情報を装った悪意のある文書を含むスピアフィッシング攻撃を使用しました。 攻撃方法の一部として、Lazarusグループは Windows セキュリティソフトウェアをバイパスするようにGitHubを更新します。

Malwarebytesは、技術的な観点から攻撃を徹底的に分解します。 キャンペーンの一部は Windows セキュリティ検出メカニズムをバイパスするように更新します。 Malwarebytesは、これが「賢い」使用法であると述べています Windows アップデート。

「これは、Lazarusが悪意のあるDLLを実行するために使用する興味深い手法です。 Windows セキュリティ検出メカニズムをバイパスするようにクライアントを更新します」とMalwarebytesは述べています。 「この方法を使用すると、攻撃者はマイクロソフトを通じて悪意のあるコードを実行できます。 Windows クライアントを更新…」

Lazarusグループも攻撃にGitHubを使用しました。 GitHubを使用すると、セキュリティ製品が悪意のあるコンテンツと正当なコンテンツを区別することが困難になります。 MalwarebytesがこのようにGitHubを使用してグループを観察したのはこれが初めてです。

「GitHubをC2として使用するマルウェアはめったに見られません。これは、LazarusがGitHubを利用しているのを初めて観察したものです」とMalwarebytesは説明します。 「GitHubをC2として使用することには独自の欠点がありますが、セキュリティ製品が正当な接続と悪意のある接続を区別するのが難しくなるため、標的型および短期間の攻撃には賢い選択です。」

以前に使用されたLazarusグループ COVID-19研究を取得するためのスピアフィッシング戦術。 ラザロはまた、ソニーと WannaCryランサムウェア攻撃.

ラザロも関与していると主張された 400億ドル相当の暗号通貨の盗難 2021インチ

原著