Kuzey Kore destekli bilgisayar korsanlığı grubu Lazarus, Windows Update istemcisini LoLBins listesine ekledi ve şimdi onu Windows sistemlerinde kötü amaçlı kod yürütmek için aktif olarak kullanıyor. Yeni kötü amaçlı yazılım dağıtım yöntemi, Malwarebytes Tehdit İstihbaratı ekibi tarafından, Amerikan güvenlik ve havacılık şirketi Lockheed Martin'in kimliğine bürünen bir Ocak ayı hedefli kimlik avı kampanyasını analiz ederken keşfedildi.
Kurbanlar kötü amaçlı ekleri açıp makro yürütmeyi etkinleştirdikten sonra, gömülü bir makro, başlangıç klasörüne bir WindowsUpdateConf.lnk dosyasını ve gizli bir Windows/System32 klasörüne bir DLL dosyasını (wuaueng.dll) bırakır.
Bir sonraki aşamada, LNK dosyası, saldırganların kötü niyetli DLL'sini yükleyen bir komutu yürütmek için WSUS / Windows Update istemcisini (wuauclt.exe) başlatmak için kullanılır. Malwarebytes , "Bu, güvenlik algılama mekanizmalarını atlamak için Windows Update İstemcisini kullanarak kötü amaçlı DLL'sini çalıştırmak için Lazarus tarafından kullanılan ilginç bir tekniktir," dedi . Araştırmacılar, altyapı çakışmaları, belge meta verileri ve önceki kampanyalara benzer hedefleme gibi çeşitli kanıtlara dayanarak bu saldırıları Lazarus ile ilişkilendirdi.
BleepingComputer'ın Ekim 2020'de bildirdiği gibi , bu taktik, saldırganların Windows 10 sistemlerinde kötü amaçlı kod yürütmek için Windows Update istemcisini kullanabileceğini bulan MDSec araştırmacısı David Middlehurst tarafından keşfedildi.Bu, aşağıdaki komut satırı seçeneklerini (Lazarus'un kötü amaçlı işlemlerini yüklemek için kullandığı komut) kullanarak özel olarak hazırlanmış rastgele bir DLL yükleyerek yapılabilir:
Kod: Tümünü seç
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServerOperatörleri, 2017 küresel WannaCry fidye yazılımı kampanyasını koordine etti ve Sony Films gibi yüksek profilli şirketlere ve dünya çapında birçok bankaya yönelik saldırıların arkasında yer aldı . Geçen yıl Google, Lazarus'un Ocak ayında karmaşık sosyal mühendislik saldırılarının ve Mart ayındaki benzer bir kampanyanın bir parçası olarak güvenlik araştırmacılarını hedef aldığını tespit etti. Ayrıca, bir düzineden fazla ülkenin savunma endüstrisine karşı geniş çaplı bir siber casusluk kampanyasında daha önce belgelenmemiş ThreatNeedle arka kapısını kullandıkları da gözlemlendi .
ABD Hazinesi , Eylül 2019'da DPRK destekli üç bilgisayar korsanlığı grubuna (Lazarus, Bluenoroff ve Andariel) yaptırım uyguladı ve ABD hükümeti , Lazarus etkinliği hakkında bilgi için 5 milyon dolara kadar ödül sunuyor.
Kaynak:
https://www.bleepingcomputer.com/news/s ... y-malware/
