Accueil Tech today Des pirates nord-coréens lancent une attaque en utilisant Windows Update et GitHub

Des pirates nord-coréens lancent une attaque en utilisant Windows Update et GitHub

Par

janvier 30, 2022

Pourquoi est-ce important: L’équipe Threat Intelligence de Malwarebytes a émis un nouvel avertissement aux utilisateurs concernant une menace récemment identifiée par le groupe de piratage nord-coréen Lazarus. L’attaque utilise de faux documents avec des macros intégrées conçues pour ressembler aux informations sur l’emploi de Lockheed Martin. Une fois la macro exécutée, l’exploit utilise Windows Update et GitHub pour fournir des charges utiles et infecter les utilisateurs sans méfiance.

L’organisation parrainée par l’État, déjà suspectée lors d’attaques passées telles que WannaCry et de nombreuses attaques contre des médias américains, a été découverte en utilisant Windows Update pour fournir des charges utiles malveillantes tout en utilisant GitHub comme serveur principal de commande et de contrôle (C2). Les attaques ont vaguement suivi celles du groupe plus tôt campagne emploi de rêvequi ciblait des organisations ainsi que des individus spécifiques dans les secteurs de la défense, de l’aérospatiale et des marchés publics civils.

L’attaque de harponnage a utilisé deux documents MS Word leurres avec des macros intégrées (Lockheed_Martin_JobOpportunities.docx et Salary_Lockheed_Martin_job_opportunities_confidential.doc) qui ont été conçues pour apparaître comme des informations valides sur les offres d’emploi de Lockheed Martin.. Une fois que les macros malveillantes sont exécutées par un utilisateur peu méfiant, le package de logiciels malveillants effectue une série d’injections sur le système cible pour assurer la persistance entre les démarrages de la machine cible.

Cela pourrait être lié à #Lazare #APTE
– Contient une macro (Frame1_Layout)
– Dépose un fichier lnk dans le répertoire de démarrage (WindowsUpdateConf.lnk)

– Crée un répertoire Windows/System32 caché et supprime wuaueng.dll (Bien que la dll semble bénigne)
– Le lnk utilise wuauclt.exe pour l’exécution pic.twitter.com/KmOz9m5gEr

— Jazi (@h2jazi) 18 janvier 2022

Une description complète du processus d’attaque, ainsi qu’une discussion approfondie des composants individuels constituant l’attaque, sont disponibles sur le site Web de l’équipe Malwarebytes Lab Threat Intelligence. Blog. Les chercheurs et ingénieurs en sécurité de Malwarebytes ont attribué l’attaque à Lazarus en se basant sur des similitudes avec les attaques passées de l’organisation nord-coréenne, telles que :

Documents d’opportunités d’emploi frauduleux bien conçus, marqués d’icônes pour les sous-traitants de la défense tels que Lockheed Martin, Northrop Grumman et Boeing
Ciblage spécifique des demandeurs d’emploi dans les secteurs de la défense et de l’aérospatial
Similitudes dans les métadonnées qui relient la récente campagne de spear phishing à des campagnes antérieures similaires

Un avril 2020 Avis sur les cybermenaces a été publié par la DHS Cybersecurity and Infrastructure Security Agency (CISA) afin de fournir des orientations officielles concernant les cyberactivités de la Corée du Nord. Les récompenses pour la justice du Département d’État (RFJ) Le programme fournit également des conseils sur les types d’informations et d’activités à déclarer. Les pourboires éligibles qui perturbent toute action contre le gouvernement américain sont éligibles pour des récompenses allant jusqu’à 5 millions de dollars.