کد مطلب:
آلوده کردن رایانههای شخصی با ترفند بهروزرسانی ویندوز
به گزارش سیتنا، مشاهده شده است که بازیگر بدنام گروه لازاروس در حال راهاندازی کمپین جدیدی است که از سرویس Windows Update برای اجرای بار مخرب خود استفاده میکند و همچنین زرادخانههایی را که توسط گروه APT برای پیشبرد اهداف خود به کار گرفته شده است را گسترش میدهد.
آخرین حملات فیشینگ این گروه در 18 ژانویه شناسایی شد، که از اسناد تسلیحاتی با فریبهایی همچون مضمون شغلی سرچشمه میگرفت و خود را به جای شرکت امنیت جهانی آمریکا و شرکت هوافضا Lockheed Martin جا زده بود.
باز کردن فایل فریبنده مایکروسافت ورد، اجرای یک ماکرو مخرب تعبیه شده در سند را آغاز میکند که به نوبه خود، یک کد پوسته رمزگشایی شده با Base64 را برای تزریق تعدادی از اجزای بدافزار به فرآیند explorer.exe اجرا میکند.
در مرحله بعدی، یکی از باینریهای بارگذاری شده، "drops_lnk.dll" از سرویس گیرنده Windows Update برای اجرای ماژول دوم به نام "wuaueng.dll" استفاده میکند. همچنین محققان خاطرنشان کردند: "این یک تکنیک جالب است که توسط Lazarus برای اجرای DLL مخرب خود با استفاده از Windows Update Client برای دور زدن مکانیسمهای شناسایی امنیتی استفاده میشود".
این شرکت امنیت سایبری "wuaueng.dll" را به عنوان "یکی از مهمترین DLLها در زنجیره حمله" توصیف میکند، که هدف اصلی آن برقراری ارتباط با یک سرور فرمان و کنترل (C2) است، همچنین یک مخزن GitHub که میزبان ماژولهای مخرب به شکل فایلهای تصویر PNG است. گفته میشود که حساب GitHub در ۱۷ ژانویه ۲۰۲۲ تشکیل شدهاست.
Malwarebytes گفت که پیوندهای Lazarus Group بر اساس چندین شواهدآنها را به حملات گذشته توسط یک بازیگر مرتبط میکند، از جمله همپوشانیهای زیرساخت، ابرداده اسناد و استفاده از قالب فرصتهای شغلی برای شناسایی قربانیان.
محققان در پایان میگویند: «Lazarus APT یکی از گروههای APT پیشرفته است که به عنوان هدفگیری صنایع دفاعی شناخته شده است، "این گروه به بهروز رسانی مجموعه ابزار خود برای فرار از مکانیسمهای امنیتی ادامه میدهد، حتی با وجود اینکه آنها از روش قدیمی موضوع شغلی خود استفاده کردهاند،همچنان از چندین تکنیک جدید برای دور زدن تشخیصها استفاده میکنند."
انتهای پیام
افزودن دیدگاه جدید