Aktor Lazarus Group yang terkenal telah terindikasi memasang kampanye baru yang menggunakan layanan pembaruan Windows untuk mengeksekusi muatan berbahayanya. Memperluas gudang teknik living-off-the-land (LotL) yang dimanfaatkan oleh grup APT untuk memajukan tujuannya.
Grup Lazarus, juga terkenal sebagai APT38, Hidden Cobra, Whois Hacking Team, dan Zinc. Yang merupakan nama yang bertuugas sebagai grup peretasan negara-bangsa yang berbasis di Korea Utara yang telah aktif setidaknya sejak 2009.
Tahun lalu, aktor ancaman terkait ke kampanye rekayasa sosial yang rumit yang menargetkan peneliti keamanan.
Serangan spear-phishing terbaru, yang terdeteksi Malwarebytes pada 18 Januari, berasal dari dokumen yang memiliki umpan bertema pekerjaan. Yang meniru perusahaan keamanan dan juga kedirgantaraan global Amerika Lockheed Martin.
Membuka file Microsoft Word umpan memicu eksekusi makro berbahaya yang tertanam di dalam dokumen. Dan pada gilirannya, mengeksekusi shellcode hasil decode Base64 untuk menyuntikkan sejumlah komponen malware ke dalam proses “explorer.exe”.
Pada fase berikutnya, salah satu binari yang terdapat pada, “drops_lnk.dll,” memanfaatkan Windows Update Client (“wuauclt.exe“).
Merupakan sebuah teknik penghindaran pertahanan untuk memadukan aktivitas berbahaya dengan perangkat lunak Windows yang sah. Dengan tujuan untuk menjalankan perintah yang memuat modul kedua yang bernama “wuaueng.dll.”
Ini adalah teknik menarik yang digunakan oleh Lazarus untuk menjalankan DLL jahatnya menggunakan Windows Update Client untuk melewati mekanisme deteksi keamanan.
kata peneliti Ankur Saini dan Hossein Jazi.
Dengan metode ini, pelaku ancaman dapat mengeksekusi kode berbahayanya melalui Microsoft Windows Update Client.
Sekelompok peretas memanfaatkan celah keamanan pada layanan pembaruan Windows
Perusahaan keamanan siber mencirikan “wuaueng.dll” sebagai “salah satu DLL paling penting dalam rantai serangan”.
Tujuan utamanya adalah untuk membangun komunikasi dengan server perintah-dan-kontrol (C2) – repositori GitHub yang menampung modul-modul jahat yang menyamar sebagai File gambar PNG. Akun GitHub kabarnya telah terdaftar pada 17 Januari 2022.
Malwarebytes mengatakan bahwa tautan ke Lazarus Group berdasar pada beberapa bukti yang mengaitkannya dengan serangan masa lalu oleh aktor yang sama.
Termasuk infrastruktur yang tumpang tindih, metadata dokumen, dan juga penggunaan templat peluang kerja untuk memilih korbannya.
“Lazarus APT merupakan salah satu kelompok APT canggih yang terlihat menyasar industri pertahanan,” pungkas para peneliti.
“Grup ini terus memperbarui perangkatnya untuk menghindari mekanisme keamanan. Meskipun mereka telah menggunakan metode tema pekerjaan lama, mereka menggunakan beberapa teknik baru untuk melewati deteksi.”