Teknoloji

Makus Gayeli Yazılımlar İçin Windows Update Kullanılıyor

Malwarebytes Labs‘e nazaran Kuzey Koreli küme Lazarus, Windows Update istemcisini makus emelli kod dağıtmak için kullanıyor ve böylece güvenlik düzeneklerinden sıyrılmayı başarıyorlar. Bunun yanında en son atakları için bir komut ve denetim sunucusu olarak hizmet etmek üzere Github’dan yararlanıyorlar.

Malwarebytes Threat Intelligence takımı, geçen hafta düzmece Lockheed Martin iş fırsatlarıyla ilgili bir gaye odaklı kimlik avı kampanyasında kullanılan iki Word dokümanı tespit etti. Lazarus’un gayesi, savunma ve havacılıkta uzmanlaşmış üst seviye devlet kurumlarına sızmak ve mümkün olduğunca fazla istihbarat verisi çalmak.

İki evrak, “Lockheed_Martin_JobOpportunities.docx” ve “Salary_Lockheed_Martin_job_opportunities_confidential.doc” olarak biliniyor. Adlarından da anlaşılacağı üzere, bu evrakların her ikisi de amaçları Lockheed Martin’deki yeni iş fırsatlarına yem ediyor üzere görünüyor.

Word evraklarına bir dizi makus maksatlı makro komut yerleştirilmiş ve aktifleştirildikten sonra sistemlere sızmaya başlıyorlar. Ayrıyeten tekrar başlatma sonrasında virüsün geçersiz kılınmaması için kodlar çabucak bilgisayarın başlangıç sistemine dahil ediliyor.  Öte taraftan sızıntının bir kısmında kısmı, makûs emelli bir DLL yüklemek için Windows Update Client kullanılmakta. Bu teknik, güvenlik algılama sistemlerinden kaçtığı için çok makul.

Malwarebytes, ESET ve MacAfee, bir sonraki atağı için Lazarus’u dikkatle izliyor. Saldırganın evvelki kampanyası, İsrail de dahil olmak üzere global ölçekte düzinelerce şirket ve kuruluşa sızdığı için büyük bir başarıydı.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu