Windows Update gebruikt door Noord-Koreaanse hackers om beveiligingssoftware te omzeilen

Windows Update en GitHub werden gebruikt in een campagne door een beruchte cybercriminaliteitsgroep.

Wat u moet weten

  • Onlangs is een nieuwe campagne ontdekt van de Noord-Koreaanse geavanceerde hardnekkige dreigingsgroep Lazarus.
  • De campagne maakte gebruik van kwaadaardige documenten die deden alsof ze over een baan voor Lockheed Martin gingen als onderdeel van spear phishing-aanvallen.
  • De Lazarus-groep profiteerde ook van Windows Update om beveiligingsdetectiemechanismen te omzeilen.

Malwarebytes ontdekte onlangs een campagne die werd uitgevoerd door de Advanced Persistent Threat Group (APT), bekend als Lazarus. De campagne maakte gebruik van spear phishing-aanvallen met kwaadaardige documenten die waren vermomd als informatie over vacatures bij Lockheed Martin. Als onderdeel van haar aanvalsmethodologie gebruikt de Lazarus-groep Windows Update en GitHub om beveiligingssoftware te omzeilen.

Malwarebytes breekt de aanval technisch grondig af. Een deel van de campagne gebruikt Windows Update om beveiligingsdetectiemechanismen te omzeilen. Malwarebytes merkt op dat dit een "slim" gebruik is van Windows Update.

“Dit is een interessante techniek die door Lazarus wordt gebruikt om zijn kwaadaardige DLL uit te voeren met behulp van de Windows Update Client om beveiligingsdetectiemechanismen te omzeilen", aldus Malwarebytes. “Met deze methode kan de dreigingsactor zijn kwaadaardige code uitvoeren via de Microsoft Windows Klant updaten…”

De Lazarus-groep gebruikte ook GitHub bij zijn aanval. Het gebruik van GitHub maakt het voor beveiligingsproducten moeilijk om het verschil te zien tussen kwaadaardige en legitieme inhoud. Dit is de eerste keer dat Malwarebytes de groep op deze manier GitHub ziet gebruiken.

"We zien zelden malware die GitHub als C2 gebruikt en dit is de eerste keer dat we zien dat Lazarus er gebruik van maakt", legt Malwarebytes uit. "Het gebruik van GitHub als C2 heeft zijn eigen nadelen, maar het is een slimme keuze voor gerichte en kortetermijnaanvallen, omdat het het voor beveiligingsproducten moeilijker maakt om onderscheid te maken tussen legitieme en kwaadaardige verbindingen."

De Lazarus-groep die eerder werd gebruikt spear phishing-tactieken om COVID-19-onderzoek te verkrijgen. Lazarus werd ook in verband gebracht met de bekende aanval op Sony en de WannaCry ransomware-aanval.

Lazarus zou ook betrokken zijn bij de diefstal van $ 400 miljoen aan cryptocurrency in 2021.

Origineel artikel