Hacker Lazarus Gunakan Windows Update Sebarkan Malware

Internet Sehat : Grup peretas yang didukung Korea Utara, Lazarus, telah menambahkan klien Windows Update ke list of living-off-the-land binaries (LoLBins) dan sekarang secara aktif menggunakannya untuk mengeksekusi kode berbahaya pada sistem Windows.

Metode penyebaran malware baru ditemukan oleh tim Malwarebytes Threat Intelligence saat menganalisis kampanye spearphishing bulan Januari yang meniru perusahaan keamanan dan kedirgantaraan Amerika Lockheed Martin.

Setelah korban membuka lampiran berbahaya dan mengaktifkan eksekusi makro, makro yang disematkan menjatuhkan file WindowsUpdateConf.lnk di folder startup dan file DLL (wuaueng.dll) di folder Windows/System32 yang tersembunyi. Pada tahap selanjutnya, file LNK digunakan untuk meluncurkan klien WSUS / Windows Update (wuauclt.exe) untuk menjalankan perintah yang memuat DLL berbahaya penyerang.

Malwarebytes mengatakan bahwa teknik tersebut adalah teknik menarik yang digunakan oleh Lazarus untuk menjalankan DLL berbahayanya menggunakan Windows Update Client untuk melewati mekanisme deteksi keamanan. Para peneliti menghubungkan serangan ini dengan Lazarus berdasarkan beberapa bukti, termasuk infrastruktur yang tumpang tindih, metadata dokumen, dan penargetan yang serupa dengan kampanye sebelumnya.

Seperti yang dilaporkan BleepingComputer pada Oktober 2020, taktik ini ditemukan peneliti MDSec David Middlehurst, yang menemukan bahwa penyerang dapat menggunakan klien Pembaruan Windows untuk mengeksekusi kode berbahaya pada sistem Windows 10.

MITER ATT&CK mengklasifikasikan jenis strategi penghindaran pertahanan ini sebagai Signed Binary Proxy Execution, dan memungkinkan penyerang untuk melewati perangkat lunak keamanan, kontrol aplikasi, dan perlindungan validasi sertifikat digital. Dalam kasus ini, pelaku ancaman melakukannya dengan mengeksekusi kode berbahaya dari DLL berbahaya yang sebelumnya dijatuhkan, dimuat menggunakan biner bertanda tangan klien Windows Update.

Grup Lazarus (juga dilacak sebagai HIDDEN COBRA oleh agen intel AS) adalah grup peretas militer Korea Utara yang aktif selama lebih dari satu dekade, setidaknya sejak 2009. Operatornya mengoordinasikan kampanye ransomware WannaCry global 2017 dan berada di balik serangan terhadap perusahaan terkenal seperti Sony Films dan beberapa bank di seluruh dunia.

Tahun lalu, Google melihat Lazarus menargetkan peneliti keamanan pada bulan Januari sebagai bagian dari serangan rekayasa sosial yang kompleks dan kampanye serupa selama bulan Maret. Mereka juga diamati menggunakan pintu belakang ThreatNeedle yang sebelumnya tidak terdokumentasi dalam kampanye spionase dunia maya skala besar terhadap industri pertahanan lebih dari selusin negara.

Departemen Keuangan AS memberikan sanksi kepada tiga kelompok peretas yang disponsori DPRK (Lazarus, Bluenoroff, dan Andariel) pada September 2019, dan pemerintah AS menawarkan hadiah hingga $5 juta untuk info tentang aktivitas Lazarus.

Sumber : Bleeping Computer