Tin tặc Triều Tiên sử dụng dịch vụ cập nhật Windows để lây nhiễm phần mềm độc hại vào máy tính

Nhóm tin tặc khét Lazarus  được quan sát thấy đang thực hiện một chiến dịch mới sử dụng dịch vụ Windows Update để làn truyền các payload độc hại. Lazarus Group, còn được gọi là APT38 , Hidden Cobra, hay Whois Hacking Team và Zinc, là biệt danh được gán cho nhóm hacker có trụ sở tại Triều Tiên, hoạt động từ ​​năm 2009.

Các cuộc tấn công lừa đảo trực tuyến mới nhất, mà Malwarebytes phát hiện vào ngày 18 tháng 1, bắt nguồn từ các tài liệu được vũ khí hóa với các chiêu dụ theo chủ đề công việc mạo danh công ty hàng không và an ninh toàn cầu của Mỹ Lockheed Martin.

Việc mở tệp Microsoft Word mồi nhử sẽ kích hoạt thực thi macro độc hại được nhúng trong tài liệu, sau đó thực thi mã shell được giải mã Base64 để đưa một số thành phần phần mềm độc hại vào quy trình “explorer.exe”.

Trong giai đoạn tiếp theo, một trong các tệp nhị phân sẽ được tải là “drops_lnk.dll,” thúc đẩy dịch vụ Máy khách Windows Update (” wuauclt.exe “) – như một kỹ thuật trốn tránh phòng vệ để trộn lẫn hoạt động độc hại với phần mềm Windows hợp pháp – và chạy lệnh tải mô-đun thứ hai có tên “wuaueng.dll.”

Các nhà nghiên cứu Ankur Saini và Hossein Jazi lưu ý: “Đây là một kỹ thuật thú vị được Lazarus sử dụng để chạy DLL độc hại của nó bằng cách sử dụng Windows Update Client nhằm vượt qua các cơ chế phát hiện bảo mật”. “Với phương pháp này, tác nhân đe dọa có thể thực thi mã độc của họ thông qua Microsoft Windows Update Client.”

Malwarebytes mô tả “wuaueng.dll” là “một trong những DLL quan trọng nhất trong chuỗi tấn công”, có mục đích chính là thiết lập thông tin liên lạc với máy chủ lệnh và kiểm soát (C2) – một kho lưu trữ GitHub lưu trữ các mô-đun độc hại giả danh Tệp hình ảnh PNG. Tài khoản GitHub được cho là đã được tạo vào ngày 17 tháng 1 năm 2022.

Các nhà nghiên cứu kết luận : “Lazarus APT là một trong những nhóm APT tiên tiến được biết đến là nhằm vào ngành công nghiệp quốc phòng “. “Nhóm tiếp tục cập nhật bộ công cụ của mình để tránh các cơ chế bảo mật. Mặc dù họ đã sử dụng phương pháp cũ của mình, nhưng vẫn dùng một số kỹ thuật mới để vượt qua sự phát hiện.” Theo THN

AT 3 EDU VN

Trả lời

Bạn cần phải đăng nhập để gửi bình luận:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s