01/02/22
Lazarus Group — киберпреступная группировка, которую связывают с правительством Северной Кореи. Эксперты из Malwarebytes обнаружили, что Lazarus взломала клиент Центра обновления Windows для распространения вредоносного ПО.
Группировка выдавала себя за Lockheed Martin, американскую аэрокосмическую, оборонную, информационную и технологическую корпорацию, с целью украсть как можно больше разведывательных данных.
В фишинговой компании использовались документы Salary_Lockheed_Martin_job_opportunities_confidential.doc и Lockheed_Martin_JobOpportunities. docx c целью привлечь жертв перспективой трудоустройства в Lockheed Martin.
После открытия файла, макрокоманды Word использовали клиент «Центра обновления Windows» для установки вредоносных библиотек DLL, чтобы обойти большинство существующих систем безопасности, включая популярные антивирусы.
В результате атакующий может выполнить произвольный вредоносный код через клиент Microsoft Windows Update, передав следующие аргументы: /UpdateDeploymentProvider, путь к вредоносной dll и аргумент /RunHandlerComServer после dll.
В прошлом Lazarus уже проводила атаки, известные под кодовым названием «Работа мечты». Хакеры предлагали госслужащим перейти на работу в крупнейшие компании, тем временем воруя данные с их рабочих станций. Ранее кампания имела большой успех и позволила злоумышленникам проникнуть в сети десятков государственных организаций по всему миру.
В прошлом году Lazarus атаковала ИБ экспертов с помощью троянизированного приложения IDA Pro. Троян позволяет злоумышленникам получить доступ к устройству для кражи файлов, создания снимков экрана, регистрации.
