2022-09-29 English
Нүүр хуудас » Мэдээ » Гадаад мэдээ
Мэдээ » Гадаад мэдээ
Windows Update ашиглан хортой код тараажээ
Огноо: 2022 оны 01 сарын 31
Lazarus хакерын бүлэглэл хортой код тараахад Windows шинэчлэлтийг идэвхтэй ашиглаж байна. Үүнийг Malwarebytes Threat Intelligence багийн шинжээчид АНУ-ын аюулгүй байдал, сансар судлалын Lockheed Martin компанийг нэрийн өмнөөс имэйл илгээсэн фишинг халдлагад шинжилгээ хийх явцдаа олж илрүүлжээ.

Уг бүлэглэл нь Хойд Солонгосын Засгийн газрын дэмжлэгтэй цэргийн хакерын бүлэглэл бөгөөд 2009 оноос хойш арав гаруй жил үйл ажиллагаагаа явуулж байгаа бөгөөд 2017 оны WannaCry ransomware кампанит ажил, Sony Films зэрэг томоохон компаниуд болон дэлхий даяар олон банкуудын эсрэг халдлага үйлдэж байсан. Мөн арав гаруй орны батлан хамгаалах салбарын эсрэг томоохон хэмжээний кибер тагнуулын кампанит ажилд ThreatNeedle цоорхойг ашиглаж байжээ.

Судлаачид дэд бүтцийн зохион байгуулалт, баримт бичгийн өгөгдөл, өмнөх кампанит ажилтай төстэй зорилтот байдал зэрэг хэд хэдэн нотолгоонд үндэслэн энэхүү халдлагыг Lazarus бүлэглэлтэй холбон дүгнэсэн.

Хохирогчид хортой хавсралтуудыг нээж WindowsUpdateConf.lnk файлыг ажиллуулахад wuaueng.dll файлыг Windows/System32 далд хавтсанд хуулан, wuauclt.exe ажиллаж хортой DLL-ийг ачаалах командыг өгнө.

 
Зураг 1. Халдлагын процесс

Энэхүү тактикийг ИБУИНВУ-ын аюулгүй байдлын MDSec компанийн судлаач David Middlehurs 2020 оны 10 дугаар сард олж илрүүлснээр халдагчид Windows Update-ийг ашиглан Windows 10 систем дээр хортой кодыг тарааж болохыг олж мэдсэн.

АНУ-ын халдлага, эмзэг байдлын бүртгэлийн сан болох MITRE ATT&CK корпорац нь энэ төрлийн хамгаалалтаас зайлсхийх аргыг Signed Binary Proxy Execution гэж ангилдаг бөгөөд энэ нь халдагчдад хамгаалалтын программ хангамж, хяналт, баталгаажуулалтыг тойрч гарах боломжийг олгодог. Энэ тохиолдолд халдагчид ачаалагдсан Windows Update-ийн баталгаажсан хоёртын файлыг ашиглан өмнө нь устгасан хортой код бүхий DLL-ийг сэргээж ажиллуулдаг байна.

АНУ-ын Сангийн яам 2019 оны 9 дүгээр сард БНАСАУ-ын ивээн тэтгэдэг Lazarus, Bluenoroff, Andariel гэсэн хакерын гурван бүлэгт хориг тавьсан бөгөөд АНУ-ын засгийн газар Lazarus-ын үйл ажиллагааны талаарх мэдээлэлд 5 сая доллар хүртэл урамшуулал олгохоор болжээ.

Эх сурвалж: https://www.bleepingcomputer.com/ 

 
Мэдээ
 
"Кибер аюулгүй байдал" сэтгүүл
Сэтгүүлийн шинэ дугаарын цахим хувилбарыг уншихыг хүсвэл и-мэйл хаягаа бүртгүүлнэ үү. Таны бүртгүүлсэн и-мэйл хаягаар татах холбоос илгээгдэх болно.
Шинэ Мэдээ
BitRAT хортой программ BitRAT хортой программ
2022-03-25
Emotet хортой кодын тархалт идэвхжив Emotet хортой кодын тархалт идэвхжив
2022-03-17
Цахим шуудангийн халдлага Цахим шуудангийн халдлага
2022-02-23
Windows Update ашиглан хортой код тараажээ Windows Update ашиглан хортой код тараажээ
2022-01-31
Credential stuffing халдлагын өсөлт Credential stuffing халдлагын өсөлт
2022-01-07
Chrome веб хөтчийн ноцтой алдаа Chrome веб хөтчийн ноцтой алдаа
2021-12-20
ALPHV BlackCat ransomware ALPHV BlackCat ransomware
2021-12-17
Интерпол кибер гэмт хэрэгтэй холбоотой 1000 гаруй сэжигтнийг баривчилжээ Интерпол кибер гэмт хэрэгтэй холбоотой 1000 гаруй сэжигтнийг баривчилжээ
2021-12-06
Apple компани Израйлын NSO группийг шүүхэд өгчээ Apple компани Израйлын NSO группийг шүүхэд өгчээ
2021-12-03
Lazarus APT бүлэглэлийн ээлжит халдлага Lazarus APT бүлэглэлийн ээлжит халдлага
2021-11-24
Хуурамч ransomware халдлага Хуурамч ransomware халдлага
2021-11-24
REvil ransomware халдлага REvil ransomware халдлага
2021-11-22
Украины эсрэг Гамаредон APT бүлэглэл Украины эсрэг Гамаредон APT бүлэглэл
2021-11-22
Metaverse Metaverse
2021-11-06
“Squid game” криптовалютын луйвар “Squid game” криптовалютын луйвар
2021-11-04