Korea Północna przeprowadza atak hakerski za pomocą narzędzia aktualizacji Windowsa

31 stycznia 2022 2 minuty czytania

Zespół Threat Intelligence firmy Malwarebytes wydał nowe ostrzeżenie dla użytkowników w związku z niedawno zidentyfikowanym zagrożeniem ze strony północnokoreańskiej grupy hakerskiej Lazarus. Atak wykorzystuje fałszywe dokumenty z osadzonymi makrami zaprojektowanymi tak, aby przypominały informacje o zatrudnieniu w Lockheed Martin. Po uruchomieniu makra exploit wykorzystuje Windows Update i GitHub do dostarczenia złośliwego kodu i zainfekowania niczego nie podejrzewających użytkowników.

Korea Północna przeprowadza ataki hakerskie przez Windows Update

This could be related to #Lazarus #APT
– Contains macro (Frame1_Layout)
– Drops a lnk file in startup directory (WindowsUpdateConf.lnk)
– Creates a hidden Windows/System32 directory and drops wuaueng.dll (Though the dll looks benign)
– The lnk uses wuauclt.exe for execution pic.twitter.com/KmOz9m5gEr
— Jazi (@h2jazi) January 18, 2022

Odkryto, że sponsorowana przez państwo organizacja, podejrzewana już w przeszłości o ataki takie jak WannaCry wykorzystuje Windows Update do dostarczania złośliwego kodu, natomiast GitHub służy jako główny serwer dowodzenia i kontroli (C2). Ataki te są luźno powiązane z wcześniejszą kampanią grupy zatytułowaną dream job, która była wymierzona w organizacje oraz konkretne osoby z sektora obronnego, lotniczego i kosmicznego oraz cywilnych kontraktów rządowych. W ataku typu spear phishing wykorzystano dwa fałszywe dokumenty MS Word z osadzonymi makrami (Lockheed_Martin_JobOpportunities.docx oraz Salary_Lockheed_Martin_job_opportunities_confidential.doc), które zostały zaprojektowane tak, aby wyglądały na ważne informacje o ofertach pracy Lockheed Martin. Po uruchomieniu złośliwych makr przez niczego niepodejrzewającego użytkownika, pakiet złośliwego oprogramowania wykonuje serię wstrzyknięć do systemu docelowego, aby zapewnić trwałość podczas uruchamiania maszyny docelowej.

Zobacz też: Według UKE wolimy abonament na telefon i średnio wydajemy na niego 54 złote

Badacze i inżynierowie bezpieczeństwa przypisali atak Lazarusowi na podstawie podobieństw do wcześniejszych ataków północnokoreańskiej organizacji, takich jak:

Dobrze zaprojektowane fałszywe dokumenty z ofertami pracy oznaczone ikonami kontrahentów z branży obronnej, takich jak Lockheed Martin, Northrop Grumman i Boeing.
Szczególne ukierunkowanie na osoby poszukujące pracy w sektorze obronnym i lotniczym.
Podobieństwa w metadanych, które łączą ostatnią kampanię spear phishingową z podobnymi kampaniami z przeszłości.

Źródło: malwarebytes