Root NationНовиниНовини ITХакери з Північної Кореї розповсюджують віруси за допомогою «Центру оновлень Windows»

Хакери з Північної Кореї розповсюджують віруси за допомогою «Центру оновлень Windows»

-

За даними Malwarebytes Labs, популярна північнокорейська група активістів Lazarus використовує клієнт Windows Update для розгортання шкідливого коду, уникаючи тим самим механізмів безпеки та використовуючи Github як сервер управління та контролю для своїх останніх атак. Минулого тижня команда Malwarebytes Threat Intelligence виявила нову кампанію у двох документах Word, які використовуються у фішинговій кампанії, пов’язаній із підробленими вакансіями Lockheed Martin. Мета Lazarus – проникнути у висококласні урядові структури, що спеціалізуються на обороні та аерокосмічній галузі, і вкрасти якнайбільше розвідувальних даних.

Ці два документи відомі як Lockheed_Martin_JobOpportunities.docx та Salary_Lockheed_Martin_job_opportunities_confidential.doc. Як випливає з назв, обидва ці документи, заманюють цілі у перспективу працевлаштування у Lockheed Martin.

Lazarus

Ряд шкідливих макрокоманд, вбудованих у документи Word, починають проникати в систему після активації, негайно впроваджуючи код у систему запуску комп’ютера, щоб гарантувати, що перезавантаження не зупинить вірус. Цікаво, що частину процесу впровадження використовує клієнт Windows Update для встановлення шкідливих бібліотек DLL. Це дуже розумно, тому що цей метод оминає системи виявлення безпеки.

Метод атаки новий, але стратегія фішингу ні. Це та сама стратегія, яку Lazarus використовували понад рік, відома як операція «Робота мрії». Цей метод атаки змушує державних службовців думати, що вони досить кваліфіковані для такої бажаної роботи, і не зрозуміли, що все це – всього лише фасад, який використовується для крадіжки конфіденційних даних з їх робочих станцій.

Malwarebytes, ESET та MacAfee уважно стежать за наступними кроками Lazarus. Попередня кампанія зловмисника мала великий успіх, оскільки вона проникла до десятків компаній та організацій по всьому світу, включаючи Ізраїль.

Читайте також:

Джерелоtomshardware
Підписатися
Сповістити про
guest

0 Comments
Найновіше
Найстаріші Найбільше голосів
Зворотній зв'язок в режимі реального часу
Переглянути всі коментарі
Підписатися на оновлення