Theo báo cáo của Malwarebytes, nhóm đe dọa Bắc Triều Tiên Lazarus đã lạm dụng ứng dụng Windows Update để thực hiện mã độc trong một chiến dịch tháng này.
Hoạt động ít nhất từ năm 2009, Lazarus là nhóm hack hoạt động tích cực nhất do nhà nước Triều Tiên bảo trợ, với nhiều phe phái hoạt động dưới sự bảo trợ của nó. Được cho là đã dàn dựng nhiều cuộc tấn công mạng cấp cao khác nhau, nhóm đánh cắp tài sản tiền điện tử trị giá 400 triệu đô la vào năm ngoái.
Hai tài liệu mồi nhử kích hoạt macro khác nhau giả mạo là cơ hội việc làm tại cơ quan an ninh toàn cầu của Mỹ và tập đoàn hàng không vũ trụ khổng lồ Lockheed Martin đã được sử dụng trong Tháng 2022 năm XNUMX chiến dịch Lazarus, cả hai đều mang dấu thời gian tổng hợp của tháng 2020 năm XNUMX.
Là một phần của cuộc tấn công đầu tiên được quan sát, các macro độc hại được nhúng trong tài liệu Word được thực thi để thực hiện các lần tiêm khác nhau và để đạt được sự bền bỉ. Hơn nữa, mã chiếm đoạt luồng điều khiển để thực thi mã trong bộ nhớ.
Kẻ đe dọa đã sử dụng một quy trình thực thi mã phức tạp liên quan đến việc sửa đổi các chức năng khác nhau để đảm bảo đưa DLL thành công vào quy trình explorer.exe.
[ĐỌC: Tin tặc Triều Tiên nhắm mục tiêu vào chuỗi cung ứng CNTT: Kaspersky]
Hơn nữa, chuỗi thực thi cũng liên quan đến việc chuyển các tham số nhất định cho Máy khách Windows Update để lạm dụng nó để thực thi mã, dẫn đến việc bỏ qua các cơ chế phát hiện bảo mật.
Các nhà nghiên cứu bảo mật của Malwarebytes cũng phát hiện ra rằng một trong những DLL được sử dụng trong cuộc tấn công đã được ký bằng chứng chỉ được cấp cho “SAMOYAJ LIMITED”. Tệp được nhúng với một DLL có chứa mô-đun mã cho phần mềm độc hại chịu trách nhiệm giao tiếp lệnh và điều khiển (C&C).
Hơn nữa, phần mềm độc hại sử dụng GitHub làm C&C và Malwarebytes nói rằng đây là lần đầu tiên Lazarus sử dụng nền tảng lưu trữ mã theo cách như vậy.
“Sử dụng Github làm C&C có những hạn chế riêng nhưng đây là một lựa chọn thông minh cho các cuộc tấn công có mục tiêu và ngắn hạn vì nó khiến các sản phẩm bảo mật khó phân biệt giữa các kết nối hợp pháp và độc hại. Trong khi phân tích mô-đun cốt lõi, chúng tôi có thể nhận được các chi tiết cần thiết để truy cập C&C nhưng tiếc là nó đã được làm sạch và chúng tôi không thể nhận được nhiều ngoại trừ một trong các mô-đun bổ sung, ”các nhà nghiên cứu bảo mật cho biết.
[ĐỌC: Tập đoàn Lazarus nhắm đến Hàn Quốc thông qua cuộc tấn công chuỗi cung ứng]
Tài khoản GitHUb được sử dụng để vận hành phần mềm độc hại đã được tạo vào ngày 17 tháng XNUMX, với tên người dùng là “DanielManwarningRep”.
Một tài liệu thứ hai trong chiến dịch đã được quan sát thấy cho thấy một phần mềm độc hại hoàn toàn khác như là một phần của chuỗi lây nhiễm cũng liên quan đến việc chiếm quyền điều khiển luồng điều khiển, cùng với một kỹ thuật tiêm tương tự được sử dụng bởi shellcode. Tuy nhiên, tài liệu này lạm dụng mshta.exe trong quá trình này.
Việc sử dụng các cơ hội việc làm làm mồi cho lừa đảo và nhắm mục tiêu vào các thực thể trong ngành công nghiệp quốc phòng phù hợp với các cuộc tấn công Lazarus trước đó, trong khi siêu dữ liệu của hai tài liệu trong chiến dịch này liên kết chúng với các tài liệu Lazarus khác.
“Sử dụng các cơ hội việc làm làm khuôn mẫu là phương pháp được Lazarus sử dụng để nhắm mục tiêu các nạn nhân của nó. Các tài liệu do diễn viên này tạo ra được thiết kế tốt và chứa một biểu tượng lớn cho một công ty nổi tiếng như LockHeed Martin, BAE Systems, Boeing và Northrop Grumman trong bản mẫu, ”Malwarebytes nói.
Liên quan: Các chuyên gia LHQ: Triều Tiên sử dụng các cuộc tấn công mạng để cập nhật Nukes
Liên quan: Mỹ buộc tội tin tặc Triều Tiên hơn 1.3 tỷ USD vụ trộm ngân hàng
Liên quan: Hoa Kỳ buộc tội Triều Tiên về vụ tấn công của nhóm Lazarus
Ionut Arghire là phóng viên quốc tế của SecurityWeek.
tags:
- Coinsmart. Sàn giao dịch Bitcoin và tiền điện tử tốt nhất Châu Âu.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. TRUY CẬP MIỄN PHÍ.
- CryptoHawk. Radar Altcoin. Dùng thử miễn phí.
- Nguồn: https://www.securityweek.com/north-korean-hackers-abuse-windows-update-client-attacks-defense-industry
