Kuzey Koreli Hack Kümesi Lazarus, Artık de Windows Update ile Vuruyor!

Malwarebytes’ten siber güvenlik araştırmacıları, Kuzey Kore hükümetiyle irtibatlı olduğu bilinen bir siber kabahat kümesi olan Lazarus‘un, makûs gayeli yazılım dağıtmak için Windows Update İstemcisini berbata kullanmayı başardığını açıkladı. Araştırmacılar, bulgularını ayrıntılandıran bir blog yazısında, bir Amerikan havacılık, silah, savunma, bilgi güvenliği ve teknoloji şirketi olan Lockheed Martin‘i taklit eden bir kimlik avı kampanyasını araştırdıklarını söyledi.

Küme, Lockheed_Martin_JobOpportunities.docx ve Salary_Lockheed_Martin_job_opportunities_confidential.doc isimli iki belge dağıtıyor ve firmada işe girmek isteyen insanların ilgisini çekip onları tuzağa düşürmeyi hedefliyor. Evrakların içinde bulunan makrolar çalıştırıldığında başlangıç klasörüne WindowsUpdateConf.lnk belgesi ve Windows/System32 klasörüne bir DLL evrakı (wuaueng.dll) atıyor.

Otomatik başlatılan belge Windows Update istemcisini çalıştırıyor, istemci de makus niyetli yazılım içeren DLL belgesini çalıştırıyor.

Dünyanın en tehlikeli siber hata kümelerinden biri olan Lazarus, WannaCry virüsü ve Sony’ye yapılan hücumla ün kazanmıştı. Microsoft’un bu yeni tehlike konusunda ne yapacağı konusunda şimdi bir bilgi gelmiş değil.