https://thehackernews.com/2022/01/north-korean-hackers-using-windows.html
悪名高いLazarusGroupの攻撃者は、Windows Updateサービスを利用して悪意のあるペイロードを実行する新しいキャンペーンを開始し、APTグループが活用するLotL(Living-off-the-land)技術の武器をその目的を促進するために拡大していることが確認されています。
昨年、攻撃者はリンクされていましたセキュリティ研究者を対象とした精巧な社会工学キャンペーンへ。
おとりのMicrosoftWordファイルを開くと、ドキュメント内に埋め込まれた悪意のあるマクロの実行がトリガーされ、Base64でデコードされたシェルコードが実行されて、explorer.exeプロセスに多数のマルウェアコンポーネントが挿入されます。
次のフェーズでは、ロードされたバイナリの1つである「dropslnk.dll」がWindows Updateクライアントを利用して、「wuaueng.dll」という2番目のモジュールを実行します。
「これは、LazarusがWindowsUpdateを使用して悪意のあるDLLを実行するために使用する興味深い手法です。セキュリティ検出メカニズムをバイパスするクライアント」と研究者のAnkurSainiとHosseinJaziは述べています。
その主な目的は、コマンドアンドコントロール(C2)サーバー(PNGを装った悪意のあるモジュールをホストするGitHubリポジトリ)との通信を確立することです。
Windows Updateサービスを使用してPCをマルウェアに感染させる北朝鮮のハッカー、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント