مجموعة Lazarus معروفة أيضًا باسم APT38 ، و Hidden Cobra ، و Whois Hacking Team ، و Zinc ومقرها كوريا الشمالية ونشطة منذ عام 2009 على الأقل. وهي مسئولة عن أحدث هجمات التصيد التي إكتشفتها شركة Malwarebytes في 18 يناير الماضي .
تم ملاحظة فريق Lazarus Group الكوري الشمالي وهو يقوم بحملة جديدة تستخدم خدمة Windows Update لتنفيذ هجمة خبيثة ، وتعتمد تلك الهجمات على ملف Word يقدم عروض وظائف في شركة لوكهيد مارتن الأمريكية للأمن والطيران العالمي. ويؤدي فتح الملف الخادع لتشغيل برنامج ضار مضمن في المستند والذي يقوم بتنفيذ كود Base64 بعد فك ترميزه لحقن عدد من مكونات البرامج الضارة في متصفح الملفات "explorer.exe". وفي المرحلة التالية يعمل ملف"drops_lnk.dll على wuauclt.exe الخاص Windows Update والذي يُستخدم كأسلوب للتهرب من حماية الويندوز كما في المخطط.
وأشار الباحثان أن هذه تقنية المثيرة للاهتمام يستخدمها هاكرز Lazarus لتشغيل ملف DLL خبيث بإستخدام خدمة Windows Update وتجاوز آليات الكشف عن الأمان.مما يسهل تنفيذ التعليمات البرمجية الضارة
التحقيق الذي أجرته Malwarebytes يتهم مجموعة Lazarus بسبب بعض الأدلة والبيانات الوصفية التي سبق استخدامها من قبل هذه المجموعة من المتسللين. وفقًا لوسيط BleepingComputer ، تم العثور على هذه الطريقة لأول مرة في أكتوبر 2020 ، عندما اكتشف الباحث David Middlehurst أنه يمكن استغلال ثغرة أمنية في Windows Update لحقن البرامج الضارة.
---------
من طرف \ البهي
source
http://www.igli5.com/2022/02/windows-update.html
ليست هناك تعليقات