Korea Północna atak windows update

Korea Północna przeprowadza atak hakerski za pomocą narzędzia aktualizacji Windowsa

Paweł Maretycz Paweł Maretycz Newsy

Zespół Threat Intelligence firmy Malwarebytes wydał nowe ostrzeżenie dla użytkowników w związku z niedawno zidentyfikowanym zagrożeniem ze strony północnokoreańskiej grupy hakerskiej Lazarus. Atak wykorzystuje fałszywe dokumenty z osadzonymi makrami zaprojektowanymi tak, aby przypominały informacje o zatrudnieniu w Lockheed Martin. Po uruchomieniu makra exploit wykorzystuje Windows Update i GitHub do dostarczenia złośliwego kodu i zainfekowania niczego nie podejrzewających użytkowników.

Korea Północna przeprowadza ataki hakerskie przez Windows Update

Odkryto, że sponsorowana przez państwo organizacja, podejrzewana już w przeszłości o ataki takie jak WannaCry wykorzystuje Windows Update do dostarczania złośliwego kodu, natomiast GitHub służy jako główny serwer dowodzenia i kontroli (C2). Ataki te są luźno powiązane z wcześniejszą kampanią grupy zatytułowaną dream job, która była wymierzona w organizacje oraz konkretne osoby z sektora obronnego, lotniczego i kosmicznego oraz cywilnych kontraktów rządowych. W ataku typu spear phishing wykorzystano dwa fałszywe dokumenty MS Word z osadzonymi makrami (Lockheed_Martin_JobOpportunities.docx oraz Salary_Lockheed_Martin_job_opportunities_confidential.doc), które zostały zaprojektowane tak, aby wyglądały na ważne informacje o ofertach pracy Lockheed Martin. Po uruchomieniu złośliwych makr przez niczego niepodejrzewającego użytkownika, pakiet złośliwego oprogramowania wykonuje serię wstrzyknięć do systemu docelowego, aby zapewnić trwałość podczas uruchamiania maszyny docelowej.

Zobacz też: Według UKE wolimy abonament na telefon i średnio wydajemy na niego 54 złote

Badacze i inżynierowie bezpieczeństwa przypisali atak Lazarusowi na podstawie podobieństw do wcześniejszych ataków północnokoreańskiej organizacji, takich jak:

  • Dobrze zaprojektowane fałszywe dokumenty z ofertami pracy oznaczone ikonami kontrahentów z branży obronnej, takich jak Lockheed Martin, Northrop Grumman i Boeing.
  • Szczególne ukierunkowanie na osoby poszukujące pracy w sektorze obronnym i lotniczym.
  • Podobieństwa w metadanych, które łączą ostatnią kampanię spear phishingową z podobnymi kampaniami z przeszłości.

Źródło: malwarebytes

Sprawdź najlepsze prezenty na Komunię

Partner poradnika:

Kup prezent na Komunię z apką PAYBACK i zgarnij punkty
Impression Tag
Sprawdź najnowsze wpisy