Malwarebytes Labs’e göre popüler Kuzey Koreli aktivist grup Lazarus, Windows Update istemcisini kötü amaçlı kod dağıtmak için kullanıyor, böylece güvenlik mekanizmalarından kaçınıyor ve Github’dan en son saldırıları için bir komuta ve kontrol sunucusu olarak yararlanıyor. Geçen hafta, Malwarebytes Tehdit İstihbaratı ekibi, sahte Lockheed Martin iş fırsatlarıyla ilgili bir hedef odaklı kimlik avı kampanyasında kullanılan iki Word belgesinde yeni kampanyayı tespit etti.
Lazarus’un amacı, savunma ve havacılıkta uzmanlaşmış üst düzey devlet kurumlarına sızmak ve mümkün olduğunca fazla istihbarat verisi çalmaktır.
İki belge olarak bilinir Lockheed_Martin_JobOpportunities.docx, ve Salary_Lockheed_Martin_job_opportunities_confidential.doc. Adlarından da anlaşılacağı gibi, bu belgelerin her ikisi de hedefleri Lockheed Martin’deki yeni iş fırsatlarına yem ediyor gibi görünüyor.
Word belgelerine bir dizi kötü amaçlı makro komutu yerleştirilmiştir, etkinleştirildikten sonra sisteme sızmaya başlar ve yeniden başlatmanın virüsü kapatmamasını sağlamak için kodu hemen bilgisayarın başlangıç sistemine gömer.
İlginç bir şekilde, enjeksiyon işleminin bir kısmı, kötü amaçlı bir DLL yüklemek için Windows Update İstemcisini kullanır. Bu teknik, güvenlik algılama sistemlerinden kaçtığı için çok akıllıcadır.
Saldırı yöntemi yeni, ancak kimlik avı stratejisi değil. Bu, Lazarus’un bir yılı aşkın süredir kullandığı, “Rüya İşi” operasyonu olarak bilinen stratejinin aynısıdır. Bu saldırı yöntemi, hükümet çalışanlarını çok imrenilen bir iş için kalifiye olabileceklerini düşünmeye sevk ediyor, ancak bunun, iş istasyonlarından hassas verileri çalmak için kullanılan bir dış görünüş olduğunu fark ediyor.
Malwarebytes, ESET ve MacAfee, bir sonraki hamlesi için Lazarus’u dikkatle izliyor. Saldırganın önceki kampanyası, İsrail de dahil olmak üzere küresel ölçekte düzinelerce şirket ve kuruluşa sızdığı için büyük bir başarıydı.