Поддерживаемая Северной Кореей хакерская группа Lazarus добавила клиент Центра обновления Windows в свой список двоичных файлов, живущих за пределами земли (LoLBins), и теперь активно использует его для выполнения вредоносного кода в системах Windows.
Новый метод развертывания вредоносного ПО был обнаружен командой Malwarebytes Threat Intelligence при анализе январской фишинговой кампании, выдаваемой за американскую компанию по безопасности и аэрокосмической отрасли Lockheed Martin.
После того как жертвы открывают вредоносные вложения и разрешают выполнение макросов, встроенный макрос сбрасывает файл WindowsUpdateConf.lnk в папку автозагрузки и файл DLL (wuaueng.dll) в скрытую папку Windows/System32.
На следующем этапе LNK-файл используется для запуска клиента WSUS/Windows Update (wuauclt.exe) для выполнения команды, загружающей вредоносную DLL злоумышленников.
«Это интересный метод, используемый Lazarus для запуска своей вредоносной DLL с помощью клиента Windows Update для обхода механизмов обнаружения безопасности», — заявили в Malwarebytes .
Исследователи связали эти атаки с Lazarus на основе нескольких доказательств, включая дублирование инфраструктуры, метаданные документов и таргетинг, аналогичный предыдущим кампаниям.
Схема атаки (Malwarebytes)Метод уклонения от защиты возродился в новых атаках
Как сообщал BleepingComputer в октябре 2020 года, эту тактику обнаружил исследователь MDSec Дэвид Миддлхерст, который обнаружил, что злоумышленники могут использовать клиент Windows Update для выполнения вредоносного кода в системах Windows 10 (он также заметил образец, использующий его в дикой природе).Это можно сделать, загрузив произвольную специально созданную DLL, используя следующие параметры командной строки (команда Lazarus использовала для загрузки своей вредоносной полезной нагрузки):
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
MITRE ATT&CK классифицирует этот тип стратегии уклонения от защиты как Signed Binary Proxy Execution и позволяет злоумышленникам обходить программное обеспечение безопасности, контроль приложений и защиту проверки цифровых сертификатов.
В этом случае субъекты угроз делают это, выполняя вредоносный код из ранее сброшенной вредоносной DLL, загруженной с помощью двоичного файла клиента Центра обновления Windows, подписанного Microsoft.
Известная северокорейская хакерская группировка
Lazarus Group (также отслеживаемая разведывательными службами США как HIDDEN COBRA) — северокорейская военная хакерская группа, действующая более десяти лет, по крайней мере, с 2009 года.Его операторы координировали глобальную кампанию по вымогательству WannaCry в 2017 году и стояли за атаками на известные компании, такие как Sony Films , и несколько банков по всему миру .
В прошлом году Google обнаружил, что Lazarus нацелился на исследователей безопасности в январе в рамках сложных атак социальной инженерии и аналогичной кампании в марте.
Они также были замечены с использованием ранее незадокументированного бэкдора ThreatNeedle в масштабной кампании кибершпионажа против оборонной промышленности более десятка стран.
В сентябре 2019 года Министерство финансов США наложило санкции на три спонсируемые КНДР хакерские группы (Lazarus, Bluenoroff и Andariel), а правительство США предлагает вознаграждение в размере до 5 миллионов долларов за информацию о деятельности Lazarus.
Перевод Google
Bleeping Computer
