تمت ملاحظة ممثل Lazarus Group سيئ السمعة وهو يقوم بحملة جديدة تستخدم خدمة Windows Update لتنفيذ حمولتها الخبيثة ، مما يوسع ترسانة تقنيات العيش خارج الأرض (LotL) التي استفادت منها مجموعة APT لتعزيز أهدافها .
مجموعة Lazarus ، المعروفة أيضًا باسم APT38 و Hidden Cobra و Whois Hacking Team و Zinc ، هي اللقب المخصص لمجموعة القرصنة التي تتخذ من دولة قومية ومقرها كوريا الشمالية والتي كانت نشطة منذ عام 2009 على الأقل. لحملة هندسة اجتماعية مفصلة تستهدف الباحثين في مجال الأمن.
أحدث هجمات التصيد بالرمح ، التي اكتشفها Malwarebytes في 18 يناير ، نشأت من وثائق مسلحة مع إغراءات ذات طابع وظيفي تنتحل شخصية شركة لوكهيد مارتن الأمريكية للأمن والطيران العالمي.
يؤدي فتح ملف Microsoft Word الخادع إلى تشغيل ماكرو ضار مضمن في المستند والذي بدوره ينفذ كود قشرة Base64 الذي تم فك ترميزه لحقن عدد من مكونات البرامج الضارة في عملية explorer.exe.
في المرحلة التالية ، أحد الثنائيات المحملة ، "drops_lnk.dll" ، يستفيد من عميل Windows Update لتشغيل وحدة نمطية ثانية تسمى "wuaueng.dll". أشار الباحثان أنكور سايني وحسين جازي إلى أن "هذه تقنية مثيرة للاهتمام يستخدمها Lazarus لتشغيل DLL الخبيث باستخدام عميل Windows Update لتجاوز آليات الكشف عن الأمان".
وصفت شركة الأمن السيبراني "wuaueng.dll" بأنه "أحد أهم مكتبات DLL في سلسلة الهجوم" ، والغرض الرئيسي منه هو إنشاء اتصالات مع خادم القيادة والتحكم (C2) - وهو مستودع GitHub يستضيف وحدات خبيثة تتنكر في شكل ملفات صور PNG. يُقال إن حساب GitHub قد تم إنشاؤه في 17 يناير 2022.
قال Malwarebytes إن الروابط إلى Lazarus Group تستند إلى عدة أدلة تربطها بهجمات سابقة قام بها نفس الفاعل ، بما في ذلك تداخلات البنية التحتية ، وبيانات وصفية للوثائق ، واستخدام قالب فرص العمل لتمييز ضحاياها.
وخلص الباحثون إلى أن "Lazarus APT هي إحدى مجموعات APT المتقدمة المعروفة باستهدافها لصناعة الدفاع". "تواصل المجموعة تحديث مجموعة أدواتها للتهرب من الآليات الأمنية. على الرغم من أنهم استخدموا أسلوب موضوع الوظيفة القديم ، فقد استخدموا العديد من التقنيات الجديدة لتجاوز عمليات الكشف."
تعليقات
إرسال تعليق