Grupo Lazarus usa o Windows Update para infectar PCs

Nova campanha usa o serviço Windows Update para executar carga maliciosa, expandindo o arsenal de técnicas de ataque Living off the Land (LotL, ou viver da terra, em tradução livre) para atingir seus objetivos
Da Redação
30/01/2022

O grupo hacker Lazarus, que supostamente tem ligações com o governo da Coreia do Norte, foi observado montando uma nova campanha que usa o serviço Windows Update para executar carga maliciosa, expandindo o arsenal de técnicas de ataque Living off the Land (LotL, ou viver da terra, em tradução livre) para atingir seus objetivos. LotL é uma técnica de ataque cibernético no qual os invasores usam software e funções legítimos disponíveis no sistema para realizar ações maliciosas; viver da terra significa sobreviver com o que você pode coletar, caçar ou cultivar na natureza.

O Lazarus — também conhecido como Hidden Cobra, Dark Seoul, Guardians of Peace, APT38, Bluenoroff, Whois Hacking Team, Zinc e uma série de outros nomes — está ativo desde ao menos 2009. No ano passado, o grupo foi vinculado a uma elaborada campanha de engenharia social direcionada a pesquisadores de segurança. Os últimos ataques de spear phishing, detectados pela Malwarebytes em 18 de janeiro, se originam de documentos armados com iscas com temas de trabalho, representando a empresa americana de segurança global e aeroespacial Lockheed Martin.

A abertura do arquivo isca do Microsoft Word desencadeia a execução de uma macro maliciosa incorporada ao documento que, por sua vez, executa um shellcode decodificado em Base64 para injetar vários componentes de malware no processo “explorer.exe”. Na próxima fase, um dos binários carregados, “drops_lnk.dll”, aproveita o Windows Update Client (“wuauclt.exe”) — que é usado como uma técnica de evasão de defesa para misturar atividades maliciosas com software Windows legítimo — para execute um comando que carrega um segundo módulo chamado “wuaueng.dll”.

Veja isso
Lazarus adquire capacidade de ataque à cadeia de suprimentos
Grupo Lazarus retoma atividade com campanha de resgate DDoS

“Esta é uma técnica interessante usada pelo Lazarus para executar sua DLL maliciosa usando o Windows Update Client para contornar os mecanismos de detecção de segurança”, observaram os pesquisadores da Malwarebytes Ankur Saini e Hossein Jaz, especialistas em inteligência contra ameaças. “Com esse método, o agente da ameaça pode executar seu código malicioso por meio do Microsoft Windows Update Client”, afirmam.

A empresa de segurança cibernética caracterizou o “wuaueng.dll” como “uma das DLLs mais importantes na cadeia de ataque”, cujo principal objetivo é estabelecer comunicações com um servidor de comando e controle (C&C) — um repositório do GitHub que hospeda módulos maliciosos disfarçados de arquivos de imagem PNG. Diz-se que a conta do GitHub foi criada em 17 de janeiro de 2022.

A Malwarebytes diz que os links para o Lazarus são baseados em várias evidências que os vinculam a ataques anteriores do mesmo ator, incluindo sobreposições de infraestrutura, metadados de documentos e o uso de modelo de oportunidades de trabalho para destacar suas vítimas.”O Lazarus é um dos grupos de ameaça persistente avançada [APT], conhecido por ter como alvo a indústria de defesa”, concluíram os pesquisadores.

“O grupo continua atualizando seu conjunto de ferramentas para burlar os mecanismos de segurança. Mesmo usando seu antigo método de tema de trabalho, eles empregaram várias novas técnicas para contornar as detecções.”

Compartilhar:

Últimas Notícias