Lazarus Использует Центр обновления Windows для развертывания вредоносного кода на целевых объектах

Lazarus Group — киберпреступная группировка, которую связывают с правительством Северной Кореи. Эксперты из Malwarebytes обнаружили, что Lazarus взломала клиент Центра обновления Windows для распространения вредоносного ПО.

Группировка выдавала себя за Lockheed Martin, американскую аэрокосмическую, оборонную, информационную и технологическую корпорацию, с целью украсть как можно больше разведывательных данных.

В фишинговой компании использовались документы Salary_Lockheed_Martin_job_opportunities_confidential.doc и Lockheed_Martin_JobOpportunities. docx c целью привлечь жертв перспективой трудоустройства в Lockheed Martin.

После открытия файла, макрокоманды Word использовали клиент «Центра обновления Windows» для установки вредоносных библиотек DLL, чтобы обойти большинство существующих систем безопасности, включая популярные антивирусы.

В результате атакующий может выполнить произвольный вредоносный код через клиент Microsoft Windows Update, передав следующие аргументы: /UpdateDeploymentProvider, путь к вредоносной dll и аргумент /RunHandlerComServer после dll.

В прошлом Lazarus уже проводила атаки, известные под кодовым названием «Работа мечты». Хакеры предлагали госслужащим перейти на работу в крупнейшие компании, тем временем воруя данные с их рабочих станций. Ранее кампания имела большой успех и позволила злоумышленникам проникнуть в сети десятков государственных организаций по всему миру.

В прошлом году Lazarus атаковала ИБ экспертов с помощью троянизированного приложения IDA Pro. Троян позволяет злоумышленникам получить доступ к устройству для кражи файлов, создания снимков экрана, регистрации.