Lazarus Saldırı Gurubu, Malware Dağıtmak İçin Windows Update Servisini Kullanıyor

Kuzey Kore destekli APT grubu Lazarus, Windows Update’i Windows sistemlerinde Malware dağıtmak için aktif olarak kullanıyor. Kurbanla özel olarak hazırlanmış dosyaları açıp makro yürütmeyi etkinleştirdikten sonra, gömülü bir makro, başlangıç ​​klasörüne bir WindowsUpdateConf.lnk dosyası ve gizli Windows/System32 klasörüne bir DLL dosyası (wuaueng.dll) ekliyor. Bir sonraki aşamada, LNK dosyası, saldırganların kötü niyetli DLL’sini yükleyen bir komutu yürütmek için WSUS / Windows Update istemcisini (wuauclt.exe) başlatmak için kullanıyor.

Aşağıdaki komut satırı (Lazarus’un malware yüklemek için kullandığı komut) kullanarak özel olarak hazırlanmış rastgele bir DLL yükleyerek yapıyor.

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Bu sadırı, Lazarus’un ne ilk ne de son saldırısı özellikle  2009’dan bu yanan Dünya çabından yeni teknikler ile saldırılarına devam ediyor.

Kaynak: bleepingcomputer.com

Exit mobile version