Hacker grubu zararlı dağıtmak için Windows Update'i kullanıyor

PC güvenliği konusundaki bilgi paylaşım alanıdır.
Cevapla
Kullanıcı avatarı
velociraptor
Yottabyte4
Yottabyte4
Mesajlar: 37656
Kayıt: 14 Mar 2006, 02:33
cinsiyet: Erkek
Has thanked: 448 time
Been thanked: 253 time

Hacker grubu zararlı dağıtmak için Windows Update'i kullanıyor

Mesaj gönderen velociraptor »

Resim

Kuzey Kore destekli bilgisayar korsanlığı grubu Lazarus, Windows Update istemcisini LoLBins listesine ekledi ve şimdi onu Windows sistemlerinde kötü amaçlı kod yürütmek için aktif olarak kullanıyor. Yeni kötü amaçlı yazılım dağıtım yöntemi, Malwarebytes Tehdit İstihbaratı ekibi tarafından, Amerikan güvenlik ve havacılık şirketi Lockheed Martin'in kimliğine bürünen bir Ocak ayı hedefli kimlik avı kampanyasını analiz ederken keşfedildi.

Kurbanlar kötü amaçlı ekleri açıp makro yürütmeyi etkinleştirdikten sonra, gömülü bir makro, başlangıç ​​klasörüne bir WindowsUpdateConf.lnk dosyasını ve gizli bir Windows/System32 klasörüne bir DLL dosyasını (wuaueng.dll) bırakır.

Bir sonraki aşamada, LNK dosyası, saldırganların kötü niyetli DLL'sini yükleyen bir komutu yürütmek için WSUS / Windows Update istemcisini (wuauclt.exe) başlatmak için kullanılır. Malwarebytes , "Bu, güvenlik algılama mekanizmalarını atlamak için Windows Update İstemcisini kullanarak kötü amaçlı DLL'sini çalıştırmak için Lazarus tarafından kullanılan ilginç bir tekniktir," dedi . Araştırmacılar, altyapı çakışmaları, belge meta verileri ve önceki kampanyalara benzer hedefleme gibi çeşitli kanıtlara dayanarak bu saldırıları Lazarus ile ilişkilendirdi.

Resim

BleepingComputer'ın Ekim 2020'de bildirdiği gibi , bu taktik, saldırganların Windows 10 sistemlerinde kötü amaçlı kod yürütmek için Windows Update istemcisini kullanabileceğini bulan MDSec araştırmacısı David Middlehurst tarafından keşfedildi.Bu, aşağıdaki komut satırı seçeneklerini (Lazarus'un kötü amaçlı işlemlerini yüklemek için kullandığı komut) kullanarak özel olarak hazırlanmış rastgele bir DLL yükleyerek yapılabilir:

Kod: Tümünü seç

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
MITRE ATT&CK, bu tür savunma kaçırma stratejisini Signed Binary Proxy Execution olarak sınıflandırıyor ve saldırganların güvenlik yazılımını, uygulama kontrolünü ve dijital sertifika doğrulama korumasını atlamasına olanak tanıyor. Bu durumda,saldırganlar bunu, Windows Update istemcisinin Microsoft imzalı ikili dosyası kullanılarak yüklenen, önceden bırakılan kötü amaçlı bir DLL dosyasından kötü amaçlı kod yürüterek yapıyor. Ünlü Kuzey Koreli hack grubu Lazarus (ABD istihbarat ajansları tarafından HIDDEN COBRA olarak da izlenir), en az 2009'dan bu yana on yıldan fazla bir süredir aktif olan bir Kuzey Kore askeri hack grubudur.

Operatörleri, 2017 küresel WannaCry fidye yazılımı kampanyasını koordine etti ve Sony Films gibi yüksek profilli şirketlere ve dünya çapında birçok bankaya yönelik saldırıların arkasında yer aldı . Geçen yıl Google, Lazarus'un Ocak ayında karmaşık sosyal mühendislik saldırılarının ve Mart ayındaki benzer bir kampanyanın bir parçası olarak güvenlik araştırmacılarını hedef aldığını tespit etti. Ayrıca, bir düzineden fazla ülkenin savunma endüstrisine karşı geniş çaplı bir siber casusluk kampanyasında daha önce belgelenmemiş ThreatNeedle arka kapısını kullandıkları da gözlemlendi .

ABD Hazinesi , Eylül 2019'da DPRK destekli üç bilgisayar korsanlığı grubuna (Lazarus, Bluenoroff ve Andariel) yaptırım uyguladı ve ABD hükümeti , Lazarus etkinliği hakkında bilgi için 5 milyon dolara kadar ödül sunuyor.

Kaynak:
https://www.bleepingcomputer.com/news/s ... y-malware/
Kullanıcı avatarı
shampuan
Global Moderator
Global Moderator
Mesajlar: 8397
Kayıt: 13 Tem 2018, 17:11
Has thanked: 181 time
Been thanked: 231 time

Re: Hacker grubu zararlı dağıtmak için Windows Update'i kullanıyor

Mesaj gönderen shampuan »

Bu ne oğlum derin devlet şeması gibi :-D
Kullanıcı avatarı
velociraptor
Yottabyte4
Yottabyte4
Mesajlar: 37656
Kayıt: 14 Mar 2006, 02:33
cinsiyet: Erkek
Has thanked: 448 time
Been thanked: 253 time

Re: Hacker grubu zararlı dağıtmak için Windows Update'i kullanıyor

Mesaj gönderen velociraptor »

Adamlar olayı aşmış :-D
Cevapla