Hacker Triều Tiên dùng hẳn Windows Update để triển khai malware

Trong khi phân tích một chiến dịch tấn công mạo danh công ty hàng không và bảo mật Lockheed Martin, nhóm an ninh mạng Malwarebytes Threat Intelligence đã phát hiện ra một phương thức triển khai malware mới khá tinh vi. Theo đó, hacker sử dụng chính Windows Update để phát tán malware.

Sau khi nạn nhân mở tệp đính kèm độc hại và cho phép thực thi macro, một macro được nhúng vào sẽ thả tệp WindowsUpdateConf.Ink vào thư mục Startupvaf một file DLL (wuaueng.dll) trong một thư mục ẩn Windows/System32.

Trong giai đoạn tiếp theo, tệp LNK được dùng để khởi chạy WSUS/Windows Update (wuauclt.exe) nhằm thực thi lệnh tải DLL độc hại của hacker.

"Đây là một kỹ thuật thú vị mà Lazarus sử dụng để chạy DLL độc haị của chúng bằng Windows Update nhằm vượt qua các cơ chế phát hiện của những phần mềm bảo mật", Malwarebytes chia sẻ.

Thực tế, nhà nghiên cứu David Middlehurst của MDSec đã phát hiện ra phương thức triển khai malware này từ tháng 10/2020. Hacker thực hiện điều này bằng cách tải một tệp DLL dược chế tạo đặc biệt bằng cách sử dụng dòng lệnh sau:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Lazarus là một nhóm hacker khét tiếng và đã hoạt động trong hơn một thập kỷ, ít nhất là từ năm 2009. Phương Tây tin rằng Lazarus có liên hệ với quân đội Triều Tiên.

Lazarus được cho là đã điều phối ransomware WannaCry trên toàn cầu vào năm 2017 và đứng sau các cuộc tấn công nhắm vào các công ty nổi tiếng như Sony Films và nhiều ngân hàng trên toàn cầu. Thậm chí đầu năm ngoái, Lazarus còn khởi động các chiến dịch tấn công xã hội phức tạp nhắm vào các chuyên gia, nhà nghiên cứu bảo mật.