Notícias de dispositivos móveis, gadgets, aplicativos Android

Alavancagens dos hackers norte-coreanos Windows Atualizar cliente para executar carga maliciosa

Numa √ļltima campanha em curso, o Windows O cliente de atualiza√ß√£o foi recentemente adicionado √† lista de bin√°rios vivos fora da terra (LoLBins) do Lazarus, um grupo de hackers apoiado pela Coreia do Norte, e n√£o apenas porque at√© os hackers est√£o abusando do Windows Atualizar cliente para executar carga maliciosa em Windows sistemas.

Ao analisar uma campanha de spearphishing lançada pelos hackers norte-coreanos do grupo Lazarus visando a empresa aeroespacial americana Lockheed Martin, os especialistas em segurança cibernética da equipe Malwarebytes Threat Intelligence identificaram um novo método de implantação de malware.

No caso da Lockheed Martin, os atores da amea√ßa lucraram suas v√≠timas com dois documentos macro-incorporados e aqui est√£o eles: –

  • Lockheed_Martin_JobOpportunities.docx
  • Sal√°rio_Lockheed_Martin_job_opportunities_confidential.doc

Na pasta de inicializa√ß√£o, uma macro incorporada coloca dois tipos de arquivos em dois diret√≥rios quando as v√≠timas abrem os anexos maliciosos, e aqui mencionamos abaixo: ‚Äď

  • Arquivo WindowsUpdateConf.lnk na pasta de inicializa√ß√£o.
  • Arquivo DLL (wuaueng.dll) em um local oculto Windows/System32 pasta.

Para iniciar o WSUS/Windows Atualize o cliente (wuauclt.exe) e execute um comando que os agentes da ameaça usam o arquivo LNK e, em seguida, carrega o arquivo DLL malicioso.

No entanto, aqui est√£o as evid√™ncias descobertas pelos analistas e que as vincularam ao grupo Lazarus: –

  • Sobreposi√ß√Ķes de infraestrutura.
  • Metadados do documento.
  • Segmenta√ß√£o semelhante √†s campanhas anteriores.

Novo método de evasão de defesa revivido

Neste método revivido para executar código malicioso em Windows sistemas, os invasores usam o cliente Update e, por meio dele, carregam um código arbitrário especialmente criado e o invasor pode executar isso facilmente.

Abaixo mencionamos a linha de comando usada pelos invasores: ‚Äď

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

N√≥s recomendamos:  Samsung Galaxy S√©rie Note 20 ser√° lan√ßada na √ćndia em 28 de agosto, Amazon listagem confirmou a data de lan√ßamento

Como ‚ÄúExecu√ß√£o de Proxy Bin√°rio Assinado‚ÄĚ este tipo de estrat√©gia de evas√£o de defesa √© classificada por permitir que os atacantes realizem diversas a√ß√Ķes como: –

  • Evite software de seguran√ßa.
  • Fuja do controle de aplicativos.
  • Evite a prote√ß√£o de valida√ß√£o de certificado digital.

As agências de inteligência dos EUA rastrearam o Grupo Lazarus APT como HIDDEN COBRA, que está ativo desde 2009, e é um dos grupos de hackers mais proeminentes e ativos apoiados pelo governo norte-coreano.

Al√©m disso, o Lazarus APT tem como alvo principal a ind√ļstria de defesa na maior parte do tempo, e n√£o apenas isso, eles tamb√©m continuam evoluindo suas ferramentas e m√©todos para contornar todas as solu√ß√Ķes de seguran√ßa.