Makus Maksatlı Yazılımlar İçin Windows Update Kullanılıyor

ItalioBrot

Global Mod
Global Mod
Malwarebytes Labs‘e göre Kuzey Koreli küme Lazarus, Windows Update istemcisini makus hedefli kod dağıtmak için kullanıyor ve bu biçimdelikle güvenlik sistemlerinden sıyrılmayı başarıyorlar. Bunun yanında en son hücumları için bir komut ve denetim sunucusu olarak hizmet etmek üzere Github’dan yararlanıyorlar.

Malwarebytes Threat Intelligence takımı, geçen hafta uydurma Lockheed Martin iş fırsatlarıyla ilgili bir amaç odaklı kimlik avı kampanyasında kullanılan iki Word dokümanı tespit etti. Lazarus’un hedefi, savunma ve havacılıkta uzmanlaşmış üst seviye devlet kurumlarına sızmak ve mümkün olduğunca fazla istihbarat verisi çalmak.

İki doküman, “Lockheed_Martin_JobOpportunities.docx” ve “Salary_Lockheed_Martin_job_opportunities_confidential.doc” olarak biliniyor. Adlarından da anlaşılacağı üzere, bu evrakların her ikisi de amaçları Lockheed Martin’deki yeni iş fırsatlarına yem ediyor üzere görünüyor.

Word evraklarına bir dizi berbat maksatlı makro komut yerleştirilmiş ve aktifleştirildikten daha sonra sistemlere sızmaya başlıyorlar. Ayrıyeten bir daha başlatma daha sonrasında virüsün geçersiz kılınmaması için kodlar çabucak bilgisayarın başlangıç sistemine dahil ediliyor. Öte taraftan sızıntının bir kısmında kısmı, makûs gayeli bir DLL yüklemek için Windows Update Client kullanılmakta. Bu teknik, güvenlik algılama sistemlerinden kaçtığı için epey makul.

Malwarebytes, ESET ve MacAfee, bir daha sonraki atılımı için Lazarus’u dikkatle izliyor. Saldırganın evvelki kampanyası, İsrail de dahil olmak üzere global ölçekte düzinelerce şirket ve kuruluşa sızdığı için büyük bir başarıydı.