Windows Atualização usada por hackers norte-coreanos para contornar software de segurança

Windows Update e GitHub foram utilizados em uma campanha de um notório grupo de crimes cibernéticos.

O que você precisa saber

  • Uma nova campanha do grupo avançado de ameaças persistentes da Coreia do Norte, Lazarus, foi descoberta recentemente.
  • A campanha usou documentos maliciosos fingindo ser sobre um trabalho para a Lockheed Martin como parte de ataques de spear phishing.
  • O grupo Lázaro também aproveitou Windows Atualização para ignorar os mecanismos de detecção de segurança.

Malwarebytes descobriu recentemente uma campanha perpetrada pelo grupo avançado de ameaças persistentes (APT) conhecido como Lazarus. A campanha usou ataques de spear phishing que incluíam documentos maliciosos disfarçados de informações sobre oportunidades de emprego na Lockheed Martin. Como parte de sua metodologia de ataque, o grupo Lazarus utiliza Windows Atualize e GitHub para ignorar o software de segurança.

O Malwarebytes analisa completamente o ataque em termos técnicos. Uma parte da campanha usa Windows Atualização para ignorar os mecanismos de detecção de segurança. Malwarebytes observa que este é um uso “inteligente” de Windows Update.

“Esta é uma técnica interessante usada pelo Lazarus para executar sua DLL maliciosa usando o Windows Atualize o Client para contornar os mecanismos de detecção de segurança”, disse Malwarebytes. “Com esse método, o agente da ameaça pode executar seu código malicioso por meio do Microsoft Windows Atualizar cliente…”

O grupo Lazarus também usou o GitHub em seu ataque. O uso do GitHub torna difícil para os produtos de segurança diferenciar entre conteúdo malicioso e legítimo. Esta é a primeira vez que o Malwarebytes observa o grupo usando o GitHub dessa maneira.

“Raramente vemos malware usando o GitHub como C2 e esta é a primeira vez que observamos o Lazarus aproveitando-o”, explicou Malwarebytes. “Usar o GitHub como C2 tem suas próprias desvantagens, mas é uma escolha inteligente para ataques direcionados e de curto prazo, pois torna mais difícil para os produtos de segurança diferenciar entre conexões legítimas e maliciosas.”

O grupo de Lázaro usou anteriormente táticas de spear phishing para obter pesquisas sobre COVID-19. Lazarus também esteve ligado ao conhecido ataque à Sony e ao Ataque de ransomware WannaCry.

Lázaro também foi acusado de estar envolvido no roubo de US $ 400 milhões em criptomoeda em 2021.

Artigo Original