Malwarebytes’ten siber güvenlik araştırmacıları, Kuzey Kore hükümetiyle bağlantılı olduğu bilinen bir siber suç grubu olan Lazarus’un kötü amaçlı yazılım dağıtmak için Windows Update İstemcisini kötüye kullanmayı başardığını tespit etti.
Araştırmacılar, bulgularını detaylandıran bir blog yazısında, bir Amerikan havacılık, silah, savunma, bilgi güvenliği ve teknoloji şirketi olan Lockheed Martin’i taklit eden bir kimlik avı kampanyasını araştırdıklarını söyledi.
Grup iki dosya dağıtıyordu – Lockheed_Martin_JobOpportunities.docx ve Salary_Lockheed_Martin_job_opportunities_confidential.doc, açıkçası şirkette iş bulmakla ilgilenen insanları hedefliyordu.
Kötü amaçlı makrolar
Belgelerin kendileri, etkinleştirildiğinde, hedef uç noktanın başlangıç klasörüne bir WindowsUpdateConf.lnk dosyası ve Windows/System32 klasörüne bir DLL dosyası (wuaueng.dll) bırakan kötü amaçlı makrolar taşıyordu.
Bundan sonra, .lnk dosyası, kötü amaçlı DLL’yi başlatan Windows Update İstemcisini başlatır.
Virüsten koruma çözümlerini ve diğer güvenlik mekanizmalarını atlamak için “Bu, Lazarus tarafından Windows Update İstemcisini kullanarak kötü amaçlı DLL’sini çalıştırmak için kullanılan ilginç bir tekniktir”.
“Bu yöntemle tehdit aktörü, aşağıdaki argümanları ileterek Microsoft Windows Update istemcisi üzerinden kötü amaçlı kodunu çalıştırabilir: /UpdateDeploymentProvider, Kötü amaçlı dll’ye giden yol ve dll’den sonra /RunHandlerComServer argümanı.”
MDSec araştırmacısı David Middlehurst, Ekim 2020’de kötü amaçlı yazılım çalıştırmak için Windows Update İstemcisi’nden ilk kez yararlanmıyor, bu kusuru ve hatta vahşi ortamda kötüye kullanımını keşfetti.
Microsoft’un bu konuda ne yapacağını henüz görmedik, ancak her zamanki gibi, posta yoluyla gelen belgeleri indirirken ve çalıştırırken, özellikle de makroların etkinleştirilmesini gerektiriyorsa, ekstra dikkatli olunmalıdır.
Dünyanın en tehlikeli siber suç gruplarından biri olan Lazarus, WannaCry fiyaskosuna karışmaları ve şirketin hayali bir Kuzey Kore’de geçen bir komedi filmi yayınlamasının ardından Sony’ye yapılan saldırıyla ünlüdür.
Üzerinden: BleeBilgisayar
