Η ομάδα hacking που υποστηρίζεται από τη Βόρεια Κορέα, η Lazarus πρόσθεσε το πρόγραμμα-πελάτη Windows Update στη λίστα με τα ζωντανά δυαδικά αρχεία (LoLBins) και τώρα το χρησιμοποιεί ενεργά για την εκτέλεση κακόβουλου κώδικα σε συστήματα Windows.
Η νέα μέθοδος ανάπτυξης κακόβουλου λογισμικού ανακαλύφθηκε από την ομάδα Malwarebytes Threat Intelligence κατά την ανάλυση μιας εκστρατείας spearphishing του Ιανουαρίου που υποδύθηκε την αμερικανική εταιρεία ασφάλειας και αεροδιαστημικής Lockheed Martin.
Αφού τα θύματα ανοίξουν τα κακόβουλα συνημμένα και ενεργοποιήσουν την εκτέλεση μακροεντολών, μια ενσωματωμένη μακροεντολή ρίχνει ένα αρχείο WindowsUpdateConf.lnk στον φάκελο εκκίνησης και ένα αρχείο DLL (wuaueng.dll) σε έναν κρυφό φάκελο Windows/System32.
Στο επόμενο στάδιο, το αρχείο LNK χρησιμοποιείται για την εκκίνηση του προγράμματος-πελάτη WSUS / Windows Update (wuauclt.exe) για την εκτέλεση μιας εντολής που φορτώνει το κακόβουλο DLL των εισβολέων.
“Αυτή είναι μια ενδιαφέρουσα τεχνική που χρησιμοποιείται από τον Lazarus για να τρέξει το κακόβουλο DLL του χρησιμοποιώντας το Windows Update Client για να παρακάμψει τους μηχανισμούς ανίχνευσης ασφαλείας”, είπε ο Malwarebytes.
Οι ερευνητές συνέδεσαν αυτές τις επιθέσεις με το Lazarus με βάση πολλά στοιχεία, όπως επικαλύψεις υποδομών, μεταδεδομένα εγγράφων και στόχευση παρόμοια με προηγούμενες εκστρατείες.