Windows Update-en keresztül támadják észak-koreai hackerek a számítógépeket
A szakmájukban rendkívül jártas hackerek egy szoftveres rést kihasználva fertőzik meg a Windows operációs rendszert futtató PC-ket és laptopokat.
Twenty20
Az észak-koreai Lazarus hackercsoport a Windows Update klienst használja rosszindulatú kódok telepítésére, ezáltal képesek megkerülni az operációs rendszer biztonsági mechanizmusait – adta hírül a Malwarebytes Labs.
A kiberbiztonsági cég szerint a kiberbűnözők főként a Githubot alkalmazzák parancs- és vezérlőkiszolgálóként a különböző támadásokhoz. Múlt héten a Malwarebytes Threat Intelligence mérnökei Word-dokumentumokban szúrták ki a bűnbanda újabb akcióját, amelyeket egy Lockheed Martinnál meghirdetett hamis álláslehetőségekhez kapcsolódó spear phishing kampányban használtak.
A Lazarus célja, hogy bejusson a védelmi és űrkutatási területekre szakosodott, magas szintű kormányzati szervezetek belső struktúrájába, így eltulajdonítva hírszerzési adatok tömkelegét.
A Word-dokumentumokba beágyazott rosszindulatú makróparancsok sorozata aktiválás után elkezd beszivárogni a rendszerbe, és azonnal kódot ágyaz be a számítógép automatizált boot-mechanizmusába, hogy az újraindítás se kapcsolja ki a vírust.
Szakértők megfigyelték, hogy érdekes módon a bejuttatási folyamat egy része a Windows Update klienst használja a kártevővel fertőzött DLL-fájlok telepítésére, ami rendkívül ötletes megoldás, mivel ezen technika révén kikerülhetőek a biztonsági észlelőrendszerek.
A Malwarebytes, az ESET és a McAfee figyelmesen követik a Lazarus következő lépését, így ha sikerül időben lefülelniük az újabb támadást, megelőzhetik a káros adatszivárgásokat, melyek az elmúlt években globális szinten gyakorlatilag berobbantak.
