Numa última campanha em curso, o Windows O cliente de atualização foi recentemente adicionado à lista de binários vivos fora da terra (LoLBins) do Lazarus, um grupo de hackers apoiado pela Coreia do Norte, e não apenas porque até os hackers estão abusando do Windows Atualizar cliente para executar carga maliciosa em Windows sistemas.
Ao analisar uma campanha de spearphishing lançada pelos hackers norte-coreanos do grupo Lazarus visando a empresa aeroespacial americana Lockheed Martin, os especialistas em segurança cibernética da equipe Malwarebytes Threat Intelligence identificaram um novo método de implantação de malware.
No caso da Lockheed Martin, os atores da ameaça lucraram suas vítimas com dois documentos macro-incorporados e aqui estão eles: –
- Lockheed_Martin_JobOpportunities.docx
- Salário_Lockheed_Martin_job_opportunities_confidential.doc
Na pasta de inicialização, uma macro incorporada coloca dois tipos de arquivos em dois diretórios quando as vítimas abrem os anexos maliciosos, e aqui mencionamos abaixo: –
- Arquivo WindowsUpdateConf.lnk na pasta de inicialização.
- Arquivo DLL (wuaueng.dll) em um local oculto Windows/System32 pasta.
Para iniciar o WSUS/Windows Atualize o cliente (wuauclt.exe) e execute um comando que os agentes da ameaça usam o arquivo LNK e, em seguida, carrega o arquivo DLL malicioso.
No entanto, aqui estão as evidências descobertas pelos analistas e que as vincularam ao grupo Lazarus: –
- Sobreposições de infraestrutura.
- Metadados do documento.
- Segmentação semelhante às campanhas anteriores.
Novo método de evasão de defesa revivido
Neste método revivido para executar código malicioso em Windows sistemas, os invasores usam o cliente Update e, por meio dele, carregam um código arbitrário especialmente criado e o invasor pode executar isso facilmente.
Abaixo mencionamos a linha de comando usada pelos invasores: –
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
Como “Execução de Proxy Binário Assinado” este tipo de estratégia de evasão de defesa é classificada por permitir que os atacantes realizem diversas ações como: –
- Evite software de segurança.
- Fuja do controle de aplicativos.
- Evite a proteção de validação de certificado digital.
As agências de inteligência dos EUA rastrearam o Grupo Lazarus APT como HIDDEN COBRA, que está ativo desde 2009, e é um dos grupos de hackers mais proeminentes e ativos apoiados pelo governo norte-coreano.
Além disso, o Lazarus APT tem como alvo principal a indústria de defesa na maior parte do tempo, e não apenas isso, eles também continuam evoluindo suas ferramentas e métodos para contornar todas as soluções de segurança.
