Kuzey Koreli Hack Grubu Lazarus, Şimdi de Windows Update ile Vuruyor!

Malwarebytes’ten siber güvenlik araştırmacıları, Kuzey Kore hükümetiyle bağlantılı olduğu bilinen bir siber suç grubu olan Lazarus‘un, kötü amaçlı yazılım dağıtmak için Windows Update İstemcisini kötüye kullanmayı başardığını açıkladı. Araştırmacılar, bulgularını detaylandıran bir blog yazısında, bir Amerikan havacılık, silah, savunma, bilgi güvenliği ve teknoloji şirketi olan Lockheed Martin‘i taklit eden bir kimlik avı kampanyasını araştırdıklarını söyledi.

Grup, Lockheed_Martin_JobOpportunities.docx ve Salary_Lockheed_Martin_job_opportunities_confidential.doc isimli iki dosya dağıtıyor ve firmada işe girmek isteyen insanların ilgisini çekip onları tuzağa düşürmeyi hedefliyor. Belgelerin içinde bulunan makrolar çalıştırıldığında başlangıç klasörüne WindowsUpdateConf.lnk dosyası ve Windows/System32 klasörüne bir DLL dosyası (wuaueng.dll) atıyor.

Otomatik başlatılan dosya Windows Update istemcisini çalıştırıyor, istemci de kötü niyetli yazılım içeren DLL dosyasını çalıştırıyor.

Dünyanın en tehlikeli siber suç gruplarından biri olan Lazarus, WannaCry virüsü ve Sony’ye yapılan saldırıyla ün kazanmıştı. Microsoft’un bu yeni tehlike konusunda ne yapacağı konusunda henüz bir bilgi gelmiş değil.