قراصنة كوريا الشمالية يستخدمون خدمة تحديث ويندوز لإصابة أجهزة الكمبيوتر ببرامج ضارة

30 يناير 2022 491 views

تمت ملاحظة ممثل مجموعة لازاروس (Lazarus Group) سيئ السمعة وهو يقوم بحملة جديدة تستفيد من خدمة “تحدبث ويندوز” لتنفيذ حمولتها الخبيثة، وتوسيع ترسانة تقنيات العيش خارج الأرض (LotL) التي استفادت منها مجموعة (APT) لتعزيز أهدافها .

إنَّ مجموعة لازاروس، المعروفة أيضًا باسم (APT38) والكوبرا الخفية (Hidden Cobra) وفريق قرصنة هويس (Whois Hacking Team) وزنك (Zinc)، هي اللقب المخصص لمجموعة القرصنة التي تتخذ من دولة قومية ومقرها كوريا الشمالية والتي كانت نشطة منذ عام 2009 على الأقل. لحملة هندسة اجتماعية مفصلة تستهدف الباحثين في مجال الأمن.

إنَّ أحدث هجمات التصيد بالرمح، التي اكتشفها مالويربايتس (Malwarebytes) في 18 يناير، نشأت من وثائق مسلحة مع إغراءات ذات طابع وظيفي تنتحل شخصية شركة لوكهيد مارتن الأمريكية للأمن والطيران العالمي. ويؤدي فتح ملف (Word DeCoy) إلى تشغيل تنفيذ ماكرو ضار مضمن داخل المستند، بدوره، يقوم بتنفيذ شالكود (SHALLCODE) مفكيك (Base64) لحقن عددٍ من مكونات البرامج الضارة في عملية “Explorer.exe”.

في المرحلة التالية، أحد الثنائيات المحملة، “drops_lnk.dll”، يرفع عميل تحديث ويندوز(‘Wuauclt.exe’) –  والذي يستخدم كتقنية تهرب الدفاع لمزج النشاط الخبيث مع برنامج ويندوز الشرعي – إلى قم بتشغيل أمر يقوم بتحميل وحدة نمطية ثانية تسمى “Wuaueng.dll”. وأشار باحثون: “هذه تقنية مثيرة لاستخدامها من قبل لازاروس لتشغيل (DLL) الضار باستخدام عميل تحديث ويندوز لتجاوز آليات اكتشاف الأمان. ومع هذه الطريقة، يمكن لممثل التهديد تنفيذ التعليمات البرمجية الخبيثة من خلال عميل تحديث مايكروسوفت ويندوز”.

تتميز شركة سايبرسكيورمنت (SyberSecurment) باعتبارها “واحدة من أهم (DLLs) في سلسلة الهجوم”، لغرضها الرئيسي هو إنشاء اتصالات مع خادم القيادة والتحكم (C2) – مستودع جيثب يستضيف الوحدات النمطية الخبيثة ملفات الصور (PNG). ويقال إن حساب قيتهوب (GitHub) قد تم إنشاؤه في 17 يناير 2022. وقالت الدعاية إن روابط مجموعة لازاروس تستند إلى عدة أجزاء من الأدلة التي تربطها على الهجمات السابقة من قبل نفس الممثل، بما في ذلك التداخل البنية التحتية والبيانات الوصفية الوثيقة واستخدام قالب فرص العمل لإخراج ضحاياه. وخلص الباحثون إلى أن لازاروس APT هي إحدى مجموعات (APT) المتقدمة المعروفة باستهدافها لصناعة الدفاع”. وتواصل المجموعة تحديث مجموعة أدواتها للتهرب من الآليات الأمنية. وعلى الرغم من أنهم استخدموا طريقة موضوع الوظيفة القديمة، إلا أنهم استخدموا العديد من التقنيات الجديدة لتجاوز الاكتشافات.

منشور له صلة

اترك رد







Twitter-تويتر



Facebook-الفيسبوك






Instagram-الانستقرام


Youtube-يوتيوب