Piratas informáticos de Lazarus usan Windows Update para implementar malware

El grupo de piratas informáticos respaldado por Corea del Norte, Lazarus, agregó el cliente de Windows Update a su lista de archivos binarios que viven fuera de la tierra (LoLBins) y ahora lo está utilizando activamente para ejecutar código malicioso en los sistemas de Windows.

El nuevo método de implementación de malware fue descubierto por el equipo de Malwarebytes Threat Intelligence mientras analizaba una campaña de phishing de enero que se hacía pasar por la empresa aeroespacial y de seguridad estadounidense Lockheed Martin.

Después de que las víctimas abren los archivos adjuntos maliciosos y habilitan la ejecución de macros, una macro incrustada suelta un archivo WindowsUpdateConf.lnk en la carpeta de inicio y un archivo DLL (wuaueng.dll) en una carpeta oculta de Windows/System32.

En la siguiente etapa, el archivo LNK se usa para iniciar el cliente WSUS/Windows Update (wuauclt.exe) para ejecutar un comando que carga la DLL maliciosa de los atacantes.

"Esta es una técnica interesante utilizada por Lazarus para ejecutar su DLL malicioso utilizando el cliente de actualización de Windows para eludir los mecanismos de detección de seguridad",  dijo Malwarebytes .

Los investigadores vincularon estos ataques con Lazarus en función de varias pruebas, incluidas superposiciones de infraestructura, metadatos de documentos y objetivos similares a campañas anteriores.


Método de evasión de defensa revivido en nuevos ataques

Como  informó BleepingComputer en octubre de 2020 , esta táctica la descubrió el investigador de MDSec, David Middlehurst, quien descubrió que los atacantes podían usar el cliente de Windows Update para ejecutar código malicioso en los sistemas Windows 10 (también  detectó una muestra  usándolo en la naturaleza).

Esto se puede hacer cargando una DLL arbitraria especialmente diseñada usando las siguientes opciones de línea de comandos (el comando que Lazarus usó para cargar su carga útil maliciosa):


MITRE ATT&CK clasifica este tipo de estrategia de evasión de defensa como  ejecución de proxy binario firmado y permite a los atacantes eludir el software de seguridad, el control de aplicaciones y la protección de validación de certificados digitales.

En este caso, los actores de amenazas lo hacen mediante la ejecución de un código malicioso desde una DLL maliciosa previamente descargada, cargada con el binario firmado por Microsoft del cliente de Windows Update.

Notorio grupo de hackers de Corea del Norte

El Grupo Lazarus (también rastreado como HIDDEN COBRA por las agencias de inteligencia de EE. UU.) es un grupo de piratería militar de Corea del Norte activo durante más de una década, al menos desde 2009.

Sus operadores coordinaron la campaña global de ransomware WannaCry de 2017 y han estado detrás de los ataques contra empresas de alto perfil como  Sony Films  y varios bancos en todo el mundo .

El año pasado, Google detectó a Lazarus  apuntando a investigadores de seguridad  en enero como parte de complejos ataques de ingeniería social y  una campaña similar  durante marzo.

También se les observó usando la puerta trasera ThreatNeedle, previamente no documentada, en una campaña de ciberespionaje a gran escala contra la industria de defensa de más de una docena de países.

El Tesoro  de los EE. UU . sancionó a tres grupos de piratería patrocinados por la RPDC  (Lazarus, Bluenoroff y Andariel) en septiembre de 2019, y el gobierno de los EE. UU  . ofrece una recompensa de hasta $ 5 millones  por información sobre la actividad de Lazarus.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta