استفاده از سرویس به‌روزرسانی ویندوز برای آلوده کردن رایانه‌های شخصی به بدافزار

کارشناسان امنیتی معتقدند که مجموعه فنون گروه شناخته شده و بدنام Lazarus نسبت به گذشته پیشرفت چشمگیری داشته و به‌تازگی نیز این گروه طی یک اقدام جدید از سرویس Update ویندوز برای اجرای payloadهای مخرب استفاده می‌کند.

گروه Lazarus که فعالیت خود را از سال 2009 میلادی شروع کرده و تحت عناوین مختلف مثل APT38، کبری مخفی، Whois Hacking Team و Zinc نیز شناخته می‌شود از جمله گروه‌های هکری دولتی بسیار معروف و منتصب به کره شمالی است. در سال 2021 نیز این گروه به عنوان عامل اجرای یک حمله مهندسی اجتماعی بر ضد محققان امنیت سایبری شناسایی شد.

براساس آمار و نتایج تحقیقات Lazarus در جدیدترین حمله فیشینگ هدفمند خود فایل‌های آلوده و فریبنده‌ای را با موضوعات مختلف و جذابی مثل پیشنهاد شغل و با نام شرکت هوا فضا و امنیت جهانی آمریکایی Lockheed Martin طراحی کرده است.

باز کردن چنین فایل‌هایی منجر به اجرای ماکروی مخرب تعبیه شده در آن می‌شود. این ماکرو نیز یک کد خاص را اجرا نموده و چندین بخش بدافزاری را در پردازش explorer.exe تزریق می‌کند.

در مرحله بعد، یکی از باینری‌های بارگذاری شده تحت عنوان drops_lnk.dll با استفاده از کلاینت به‌روزرسانی ویندوز بنام wuauclt.exe که از آن به عنوان یک تکنیک گریز جهت مخفی کردن عملیات مخرب در بین فعالیت‌های عادی ویندوز استفاده می‌شود فرمانی را اجرا می‌کند که منجر به بارگذاری ماژول دوم تحت عنوان wuaueng.dll می‌گردد.

بنا به گفته محققان امنیت سایبری شرکت Malwarebytes: «تکنیک مورد استفاده Lazarus برای اجرای DDL مخرب این گروه با استفاده از کلاینت به‌روزرسانی ویندوز و جهت پیشگیری از شناسایی بسیار جالب است. مهاجمان با این روش می‌توانند با استفاده از کلاینت به‌روزرسانی ویندوز کدهای مخرب خودشان را اجرا کنند».

این محققان wuaueng.dll را از جمله مهمترین DDLهای مورد استفاده در زنجیره حمله می‌دانند که کاربرد آن برقراری ارتباط با یک سرور فرماندهی و کنترل است. این سرور یک مخزن در گیت‌هاب بوده و شامل ماژول‌های مخرب در قالب فایل PNG است. براساس شواهد موجود این حساب گیت‌هاب در هفدهم ژانویه 2022 ایجاد شده است.

براساس اظهارات محققین Malwarebytes: «ارتباط دادن این حمله به گروه Lazarus Group بر اساس رفتارها و شواهدی از جمله همپوشانی زیرساخت‌ها، اطلاعات مربوط به ابرداده‌های فایل‌ها و استفاده از وعده‌های شغلی برای فریب افراد صورت گرفته که در گذشته نیز توسط این گروه مشاهده شده بود».

محققان معتقدند که Lazarus APT از جمله گروه‌های APT پیشرفته است که صنعت دفاعی را مورد هدف قرار می‌دهد. اگرچه این گروه همچنان از رویکردها و فنون قدیمی استفاده می‌کند اما برای دور زدن سازوکارهای امنیتی مجموعه ابزارهای خودش را به‌روزرسانی نموده و از چندین راهکار جدید نیز استفاده می‌کند».

منبع: thehackernews