آلوده کردن رایانه‌های شخصی با ترفند به‌روز‌رسانی ویندوز

به گزارش سیتنا، مشاهده شده است که بازیگر بدنام گروه لازاروس در حال راه‌اندازی کمپین جدیدی است که از سرویس Windows Update برای اجرای بار مخرب خود استفاده می‌کند و همچنین زرادخانه‌هایی را که توسط گروه APT برای پیشبرد اهداف خود به کار گرفته شده است را گسترش می‌دهد.

آخرین حملات فیشینگ این گروه در 18 ژانویه شناسایی شد، که از اسناد تسلیحاتی با فریب‌هایی همچون مضمون شغلی سرچشمه می‌گرفت و خود را به جای شرکت امنیت جهانی آمریکا و شرکت هوافضا Lockheed Martin جا زده بود.

باز کردن فایل فریبنده مایکروسافت ورد، اجرای یک ماکرو مخرب تعبیه شده در سند را آغاز می‌کند که به نوبه خود، یک کد پوسته رمزگشایی شده با Base64 را برای تزریق تعدادی از اجزای بدافزار به فرآیند explorer.exe اجرا می‌کند.

در مرحله بعدی، یکی از باینری‎های بارگذاری شده، "drops_lnk.dll" از سرویس گیرنده Windows Update برای اجرای ماژول دوم به نام "wuaueng.dll" استفاده می‌کند. همچنین محققان خاطرنشان کردند: "این یک تکنیک جالب است که توسط Lazarus برای اجرای DLL مخرب خود با استفاده از Windows Update Client برای دور زدن مکانیسم‌های شناسایی امنیتی استفاده می‌شود".

این شرکت امنیت سایبری "wuaueng.dll" را به عنوان "یکی از مهم‌ترین DLL‌ها در زنجیره حمله" توصیف می‌کند، که هدف اصلی آن برقراری ارتباط با یک سرور فرمان و کنترل (C2) است، همچنین یک مخزن GitHub که میزبان ماژول‌های مخرب به شکل فایل‌های تصویر PNG است. گفته می‌شود که حساب GitHub در ۱۷ ژانویه ۲۰۲۲ تشکیل شده‌است.

Malwarebytes گفت که پیوندهای Lazarus Group بر اساس چندین شواهدآنها را به حملات گذشته توسط یک بازیگر مرتبط می‌کند، از جمله همپوشانی‌های زیرساخت، ابرداده اسناد و استفاده از قالب فرصت‌های شغلی برای شناسایی قربانیان.

محققان در پایان می‌گویند: «Lazarus APT یکی از گروه‌های APT پیشرفته است که به عنوان هدف‌گیری صنایع دفاعی شناخته شده است، "این گروه به به‌روز رسانی مجموعه ابزار خود برای فرار از مکانیسم‌های امنیتی ادامه می‌دهد، حتی با وجود اینکه آنها از روش قدیمی موضوع شغلی خود استفاده کرده‌اند،همچنان از چندین تکنیک جدید برای دور زدن تشخیص‌ها استفاده می‌کنند."

انتهای پیام