Windows Posodobitev, ki jo uporabljajo severnokorejski hekerji, da zaobidejo varnostno programsko opremo

Windows Posodobitev in GitHub je v kampanji uporabila zloglasna skupina za kibernetski kriminal.

Kaj morate vedeti

  • Pred kratkim je bila odkrita nova kampanja severnokorejske napredne skupine za vztrajne grožnje Lazarus.
  • Kampanja je v okviru napadov z lažnim predstavljanjem uporabljala zlonamerne dokumente, ki so se pretvarjali, da gre za službo za Lockheed Martin.
  • Izkoristila je tudi skupina Lazarus Windows Posodobite, da zaobidete varnostne mehanizme za zaznavanje.

Malwarebytes nedavno odkril kampanjo, ki jo izvaja napredna skupina za obstojne grožnje (APT), znana kot Lazarus. Kampanja je uporabljala napade z lažnim predstavljanjem, ki so vključevali zlonamerne dokumente, prikrite kot informacije o zaposlitvenih možnostih pri Lockheed Martinu. Kot del svoje metodologije napada uporablja skupina Lazarus Windows Posodobite in GitHub, da zaobidete varnostno programsko opremo.

Malwarebytes v tehničnem smislu temeljito razbije napad. En del kampanje uporablja Windows Posodobite, da zaobidete varnostne mehanizme za zaznavanje. Malwarebytes ugotavlja, da je to "pametna" uporaba Windows Update.

»To je zanimiva tehnika, ki jo uporablja Lazarus za zagon svojega zlonamernega DLL-ja z uporabo Windows Posodobite odjemalca, da zaobidete mehanizme za zaznavanje varnosti,« je dejal Malwarebytes. »S to metodo lahko akter grožnje izvede svojo zlonamerno kodo prek Microsofta Windows Posodobite odjemalca…”

Skupina Lazarus je v svojem napadu uporabila tudi GitHub. Uporaba GitHuba varnostnim izdelkom otežuje razlikovanje med zlonamerno in zakonito vsebino. To je prvič, da je Malwarebytes opazil skupino, ki uporablja GitHub na ta način.

»Le redko vidimo zlonamerno programsko opremo, ki uporablja GitHub kot C2 in to je prvič, da smo opazili, da jo Lazarus uporablja,« je pojasnil Malwarebytes. "Uporaba GitHuba kot C2 ima svoje pomanjkljivosti, vendar je pametna izbira za ciljno usmerjene in kratkoročne napade, saj varnostnim izdelkom otežuje razlikovanje med zakonitimi in zlonamernimi povezavami."

Skupina Lazarus je prej uporabljala spear phishing taktike za pridobitev raziskave COVID-19. Lazarus je bil povezan tudi z dobro znanim napadom na Sony in WannaCry napad z odkupi.

Lazarus naj bi bil tudi vpleten v krajo kriptovalute v vrednosti 400 milijonov dolarjev v 2021.

Original člen