Хакеры из Северной Кореи стали распространять вирусы с помощью «Центра обновления Windows»

По данным компании Malwarebytes Labs, работающей в сфере кибербезопасности, северокорейская хакерская группировка Lazarus использует «Центр обновления Windows» для внедрения вредоносного кода в компьютеры жертв. Это позволяет злоумышленникам обойти основные механизмы обеспечения безопасности и использовать GitHub в качестве сервера для распространения вредоносного кода.

Источник изображения: Shutterstock

 

На прошлой неделе команда Malwarebytes Threat Intelligence обнаружила атаку с помощью двух документов Word, связанных с поддельными вакансиями в аэрокосмической компании Lockheed Martin. Цель Lazarus — проникнуть в правительственные структуры США, работающие в сфере обороны и аэрокосмической отрасли, и украсть как можно больше секретных данных.

Для атак используются документы Salary_Lockheed_Martin_job_opportunities_confidential.doc и Lockheed_Martin_JobOpportunities. docx. Как следует из их названий, оба документа призваны привлечь жертв перспективой трудоустройства в Lockheed Martin. Ряд вредоносных макрокоманд, встроенных в документы Word, начинают проникать в систему после открытия файла, немедленно внедряя код в механизм запуска компьютера, чтобы гарантировать, что перезагрузка не помешает действиям вируса. Интересно, что часть процесса внедрения вредоносного кода в систему задействует клиент «Центра обновления Windows» для установки вредоносных библиотек DLL. Это очень умно, так как этот метод позволяет обойти большинство средств обеспечения безопасности.

Стоит отметить, что в прошлом Lazarus уже проводила атаки, известные под кодовым названием «Работа мечты». Хакеры заставляли госслужащих думать, что их хотят нанять крупные мировые компании, тем временем воруя данные с их рабочих станций. Эта кампания имела большой успех и позволила злоумышленникам проникнуть в сети десятков государственных организаций по всему миру.