Malwarebytes Labs‘e göre Kuzey Koreli grup Lazarus, Windows Update istemcisini kötü amaçlı kod dağıtmak için kullanıyor ve böylelikle güvenlik mekanizmalarından sıyrılmayı başarıyorlar. Bunun yanında en son saldırıları için bir komut ve kontrol sunucusu olarak hizmet etmek üzere Github’dan yararlanıyorlar.
Malwarebytes Threat Intelligence ekibi, geçen hafta sahte Lockheed Martin iş fırsatlarıyla ilgili bir hedef odaklı kimlik avı kampanyasında kullanılan iki Word belgesi tespit etti. Lazarus’un amacı, savunma ve havacılıkta uzmanlaşmış üst düzey devlet kurumlarına sızmak ve mümkün olduğunca fazla istihbarat verisi çalmak.
İki belge, “Lockheed_Martin_JobOpportunities.docx” ve “Salary_Lockheed_Martin_job_opportunities_confidential.doc” olarak biliniyor. Adlarından da anlaşılacağı gibi, bu belgelerin her ikisi de hedefleri Lockheed Martin’deki yeni iş fırsatlarına yem ediyor gibi görünüyor.
Word belgelerine bir dizi kötü amaçlı makro komut yerleştirilmiş ve etkinleştirildikten sonra sistemlere sızmaya başlıyorlar. Ayrıca yeniden başlatma sonrasında virüsün geçersiz kılınmaması için kodlar hemen bilgisayarın başlangıç sistemine dahil ediliyor. Öte taraftan sızıntının bir kısmında kısmı, kötü amaçlı bir DLL yüklemek için Windows Update Client kullanılmakta. Bu teknik, güvenlik algılama sistemlerinden kaçtığı için çok akıllıca.
Malwarebytes, ESET ve MacAfee, bir sonraki hamlesi için Lazarus’u dikkatle izliyor. Saldırganın önceki kampanyası, İsrail de dahil olmak üzere küresel ölçekte düzinelerce şirket ve kuruluşa sızdığı için büyük bir başarıydı.
