Investigadores afirmaron que el APT Lazarus está abusando de Windows Update Client para propagar malware en una campaña de phishing dirigido a obtener secretos militares. Según Malwarebytes, el actor de amenazas estaba usando versiones modificadas del mismo tema de oportunidades laborales que había usado previamente. El grupo se hizo pasar por Lockheed Martin en campañas […]
Investigadores afirmaron que el APT Lazarus está abusando de Windows Update Client para propagar malware en una campaña de phishing dirigido a obtener secretos militares.
Según Malwarebytes, el actor de amenazas estaba usando versiones modificadas del mismo tema de oportunidades laborales que había usado previamente.
El grupo se hizo pasar por Lockheed Martin en campañas de spear-phishing, que contenían dos documentos señuelo incrustados con macros, con el objetivo de exfiltrar datos militares confidenciales.
Ambos documentos tuvieron un tiempo de compilación del 4 de abril de 2020. Sin embargo, según los dominios utilizados por los actores de amenazas y varios indicadores adicionales, se identificó que los documentos se usaron en lo que va del 2022.
La técnica utilizada en esta campaña es particularmente tortuosa porque el grupo ahora ejecutan su código malicioso a través del cliente Microsoft Windows Update y GitHub. Por primera vez, el grupo usó GitHub como C2 para ataques dirigidos y de corto plazo. Todo esto dificulta que las herramientas de seguridad identifiquen conexiones maliciosas y legítimas.
¿Cómo elude el malware la seguridad de Windows?
El ataque comienza con la ejecución de macros maliciosas agregadas en los documentos de Word. Después de múltiples inyecciones, el malware intenta obtener persistencia de inicio en el sistema de la víctima.
Abrir los archivos adjuntos maliciosos permite la ejecución de macros, lo que coloca un archivo (WindowsUpdateConf[.]lnk) en la carpeta de inicio y un archivo DLL en una carpeta oculta del sistema (Windows/System32).
La macro carga el shellcode, que llega junto con una DLL cifrada. La DLL se descifra en tiempo de ejecución y se mapea manualmente dentro de la memoria mediante el shellcode.
Un archivo .LNK inicia el cliente WSUS/Windows Update, que es un proceso genuino conocido como actualizaciones automáticas de Windows, ubicado en C:\Windows\System32.
El cliente de actualización se emplea para ejecutar una DLL maliciosa para eludir la detección de seguridad. Al usar este método, los atacantes pueden ejecutar código malicioso a través del cliente de Windows Update.
Artículos relacionados
Cobalt Strike y Prometheus Traffic Direction System: nuevas herramientas para el comercio de ciberamenazas
3 de febrero de 2022Se sospecha que existe una conexión entre el sistema de dirección de tráfico (TDS) de Prometheus y una copia descifrada de Cobalt Strike. Ambos se ofrecen como herramientas para orquestar acciones posteriores a la explotación para múltiples actores de amenazas.
Los ciberdelincuentes utilizan el envenenamiento de SEO para propagar malware
8 de febrero de 2022Se encontró una campaña de envenenamiento de SEO que propaga el malware Batloader y Atera Agent. Los objetivos son profesionales que buscan herramientas tipo Visual Studio, Zoom y TeamViewer.
