Peretas Korea Utara Menggunakan Layanan Pembaruan Windows untuk Menginfeksi PC dengan Malware

  • Whatsapp
Peretas Korea Utara Menggunakan Layanan Pembaruan Windows untuk Menginfeksi PC dengan Malware
Peretas Korea Utara Menggunakan Layanan Pembaruan Windows untuk Menginfeksi PC

News.nextcloud.asia –

Aktor Lazarus Group yang terkenal telah diamati memasang kampanye baru yang menggunakan layanan Pembaruan Windows untuk mengeksekusi muatan berbahayanya, memperluas gudang teknik living-off-the-land (LotL) yang dimanfaatkan oleh grup APT untuk memajukan tujuannya. .

Grup Lazarus, juga dikenal sebagai APT38, Hidden Cobra, Whois Hacking Team, dan Zinc, adalah moniker yang ditugaskan ke kelompok peretasan negara-bangsa yang berbasis di Korea Utara yang telah aktif setidaknya sejak 2009. Tahun lalu, pelaku ancaman dikaitkan dengan kampanye rekayasa sosial yang rumit yang menargetkan keamanan peneliti.

Pencadangan GitHub Otomatis

Serangan spear-phishing terbaru, yang Malwarebytes terdeteksi pada 18 Januari, berasal dari dokumen yang dipersenjatai dengan umpan bertema pekerjaan yang meniru perusahaan keamanan dan kedirgantaraan global Amerika Lockheed Martin.

Membuka file Microsoft Word umpan memicu eksekusi makro berbahaya yang tertanam di dalam dokumen yang, pada gilirannya, mengeksekusi shellcode yang didekodekan Base64 untuk menyuntikkan sejumlah komponen malware ke dalam proses explorer.exe.

Pada fase berikutnya, salah satu binari yang dimuat, “drops_lnk.dll,” memanfaatkan klien Pembaruan Windows untuk menjalankan modul kedua yang disebut “wuaueng.dll.” “Ini adalah teknik menarik yang digunakan oleh Lazarus untuk menjalankan DLL jahatnya menggunakan Windows Update Client untuk melewati mekanisme deteksi keamanan,” kata peneliti Ankur Saini dan Hossein Jazi.

Perusahaan keamanan siber mencirikan “wuaueng.dll” sebagai “salah satu DLL paling penting dalam rantai serangan,” yang tujuan utamanya adalah untuk membangun komunikasi dengan server perintah-dan-kontrol (C2) – repositori GitHub yang menampung modul-modul jahat yang menyamar sebagai File gambar PNG. Akun GitHub dikatakan telah dibuat pada 17 Januari 2022.

Mencegah Pelanggaran Data

Malwarebytes mengatakan bahwa tautan ke Lazarus Group didasarkan pada beberapa bukti yang mengaitkannya dengan serangan masa lalu oleh aktor yang sama, termasuk infrastruktur yang tumpang tindih, metadata dokumen, dan penggunaan templat peluang kerja untuk memilih korbannya.

“Lazarus APT merupakan salah satu kelompok APT canggih yang diketahui menyasar industri pertahanan,” pungkas para peneliti. “Grup ini terus memperbarui perangkatnya untuk menghindari mekanisme keamanan. Meskipun mereka telah menggunakan metode tema pekerjaan lama, mereka menggunakan beberapa teknik baru untuk melewati deteksi.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.