استفاده از سرویس بهروزرسانی ویندوز برای آلوده کردن رایانههای شخصی به بدافزار

کارشناسان امنیتی معتقدند که مجموعه فنون گروه شناخته شده و بدنام Lazarus نسبت به گذشته پیشرفت چشمگیری داشته و بهتازگی نیز این گروه طی یک اقدام جدید از سرویس Update ویندوز برای اجرای payloadهای مخرب استفاده میکند.
گروه Lazarus که فعالیت خود را از سال 2009 میلادی شروع کرده و تحت عناوین مختلف مثل APT38، کبری مخفی، Whois Hacking Team و Zinc نیز شناخته میشود از جمله گروههای هکری دولتی بسیار معروف و منتصب به کره شمالی است. در سال 2021 نیز این گروه به عنوان عامل اجرای یک حمله مهندسی اجتماعی بر ضد محققان امنیت سایبری شناسایی شد.
براساس آمار و نتایج تحقیقات Lazarus در جدیدترین حمله فیشینگ هدفمند خود فایلهای آلوده و فریبندهای را با موضوعات مختلف و جذابی مثل پیشنهاد شغل و با نام شرکت هوا فضا و امنیت جهانی آمریکایی Lockheed Martin طراحی کرده است.
باز کردن چنین فایلهایی منجر به اجرای ماکروی مخرب تعبیه شده در آن میشود. این ماکرو نیز یک کد خاص را اجرا نموده و چندین بخش بدافزاری را در پردازش explorer.exe تزریق میکند.
در مرحله بعد، یکی از باینریهای بارگذاری شده تحت عنوان drops_lnk.dll با استفاده از کلاینت بهروزرسانی ویندوز بنام wuauclt.exe که از آن به عنوان یک تکنیک گریز جهت مخفی کردن عملیات مخرب در بین فعالیتهای عادی ویندوز استفاده میشود فرمانی را اجرا میکند که منجر به بارگذاری ماژول دوم تحت عنوان wuaueng.dll میگردد.
بنا به گفته محققان امنیت سایبری شرکت Malwarebytes: «تکنیک مورد استفاده Lazarus برای اجرای DDL مخرب این گروه با استفاده از کلاینت بهروزرسانی ویندوز و جهت پیشگیری از شناسایی بسیار جالب است. مهاجمان با این روش میتوانند با استفاده از کلاینت بهروزرسانی ویندوز کدهای مخرب خودشان را اجرا کنند».
این محققان wuaueng.dll را از جمله مهمترین DDLهای مورد استفاده در زنجیره حمله میدانند که کاربرد آن برقراری ارتباط با یک سرور فرماندهی و کنترل است. این سرور یک مخزن در گیتهاب بوده و شامل ماژولهای مخرب در قالب فایل PNG است. براساس شواهد موجود این حساب گیتهاب در هفدهم ژانویه 2022 ایجاد شده است.
براساس اظهارات محققین Malwarebytes: «ارتباط دادن این حمله به گروه Lazarus Group بر اساس رفتارها و شواهدی از جمله همپوشانی زیرساختها، اطلاعات مربوط به ابردادههای فایلها و استفاده از وعدههای شغلی برای فریب افراد صورت گرفته که در گذشته نیز توسط این گروه مشاهده شده بود».
محققان معتقدند که Lazarus APT از جمله گروههای APT پیشرفته است که صنعت دفاعی را مورد هدف قرار میدهد. اگرچه این گروه همچنان از رویکردها و فنون قدیمی استفاده میکند اما برای دور زدن سازوکارهای امنیتی مجموعه ابزارهای خودش را بهروزرسانی نموده و از چندین راهکار جدید نیز استفاده میکند».
منبع: thehackernews