Kuzey Koreli Hack Grubu Lazarus, Şimdi de Windows Update ile Vuruyor!
Kuzey Kore bağlantılı hacker grubu Lazarus, şimdi de Windows Update'i "ele geçirdi." Güncelleme aracını kullanarak, bilgisayarlara kötü amaçlı yazılım bulaştırmayı başardılar!
Malwarebytes'ten siber güvenlik araştırmacıları, Kuzey Kore
hükümetiyle bağlantılı olduğu bilinen bir siber suç grubu olan
Lazarus'un, kötü amaçlı yazılım dağıtmak için
Windows Update İstemcisini kötüye kullanmayı
başardığını açıkladı. Araştırmacılar, bulgularını detaylandıran bir
blog yazısında, bir Amerikan havacılık, silah, savunma, bilgi
güvenliği ve teknoloji şirketi olan Lockheed
Martin'i taklit eden bir kimlik avı kampanyasını
araştırdıklarını söyledi.
Grup, Lockheed_Martin_JobOpportunities.docx ve Salary_Lockheed_Martin_job_opportunities_confidential.doc isimli iki dosya dağıtıyor ve firmada işe girmek isteyen insanların ilgisini çekip onları tuzağa düşürmeyi hedefliyor. Belgelerin içinde bulunan makrolar çalıştırıldığında başlangıç klasörüne WindowsUpdateConf.lnk dosyası ve Windows/System32 klasörüne bir DLL dosyası (wuaueng.dll) atıyor.
Otomatik başlatılan dosya Windows Update istemcisini çalıştırıyor, istemci de kötü niyetli yazılım içeren DLL dosyasını çalıştırıyor.
Dünyanın en tehlikeli siber suç gruplarından biri olan Lazarus, WannaCry virüsü ve Sony'ye yapılan saldırıyla ün kazanmıştı. Microsoft'un bu yeni tehlike konusunda ne yapacağı konusunda henüz bir bilgi gelmiş değil.