Lazarus APT Menggunakan Pembaruan Windows untuk Memuntahkan Malware

Lazarus Group menggunakan Pembaruan Windows untuk menyemprotkan malware dalam kampanye yang didukung oleh server command-and-control (C2) GitHub, para peneliti telah menemukan.

Pada hari Kamis, tim Malwarebytes Threat Intelligence melaporkan bahwa mereka menemukan ancaman terus-menerus tingkat lanjut dari negara Korea Utara ( teknik hidup-off-the-land terbaru grup APT saat menganalisis kampanye spear-phishing yang ditemukan para penelitinya 10 hari yang lalu, pada 18 Januari. Fokus kampanye – di mana APT menyamar sebagai raksasa keamanan dan kedirgantaraan global Amerika Lockheed Martin – sesuai dengan selera Lazarus untuk menyusup ke militer.

​​Para peneliti menganggap Lazarus, yang telah aktif setidaknya sejak 2009, sebagai salah satu aktor ancaman paling aktif di dunia. Amerika Serikat juga menyebut Lazarus sebagai Hidden Cobra: nama yang digunakan untuk merujuk pada aktivitas siber berbahaya oleh pemerintah Korea Utara secara umum. “Grup APT ini telah berada di belakang kampanye spionase cyber dan ransomware skala besar dan telah terlihat menyerang industri pertahanan dan pasar mata uang kripto,” peneliti Kaspersky telah mencatat di masa lalu.

Menurut laporan Kamis Malwarebytes, tombak 18 Januari- kampanye phishing dipersenjatai dengan dokumen jahat yang mencoba memikat target untuk mengklik dengan menggunakan omong kosong “peluang kerja” yang sama yang telah digantungkan oleh grup sebelumnya.

Lazarus melakukan hal yang sama Juli lalu: Saat itu, APT diidentifikasi berada di belakang sebuah kampanye yang menyebarkan dokumen jahat kepada para insinyur pencari kerja, meniru identitas kontraktor pertahanan yang konon mencari kandidat pekerjaan di Airbus, General Motors, dan Rheinmetall.

Malwarebytes menemukan dua dokumen umpan yang disematkan secara makro, berpura-pura menawarkan peluang kerja baru di Lockheed Martin, dalam kampanye 18 Januari. Nama file mereka:

    Lockheed_Martin_JobOpportunities.docx

    Salary_Lockheed_Martin_job_opportunities_confidential.doc

Kedua dokumen memiliki waktu kompilasi pada 4 April 2020, tetapi Malwarebytes mengatakan bahwa kampanye tersebut sebenarnya digunakan akhir bulan lalu dan domain ini digunakan oleh aktor.
hhh Semua Dimulai dengan Word

Serangan dimulai dengan mengeksekusi makro berbahaya yang disematkan dalam dokumen Word, para peneliti menjelaskan. Setelah serangkaian injeksi, malware mencapai persistensi startup di sistem korban.

Setelah target membuka lampiran berbahaya dan mengaktifkan eksekusi makro, makro yang disematkan menjatuhkan file WindowsUpdateConf.lnk di folder startup dan file DLL (wuaueng.dll ) di folder Windows/System32 yang tersembunyi. File LNK adalah file pintasan Windows, seperti pada, penunjuk ke file asli di Windows.

Selanjutnya, file .LNK digunakan untuk meluncurkan klien Pembaruan WSUS / Windows – wuauclt.exe, file proses sah yang dikenal sebagai pembaruan otomatis Windows yang terletak di C:WindowsSystem32 secara default. Klien Pembaruan digunakan untuk menjalankan DLL berbahaya yang melewati deteksi keamanan.

“Dengan metode ini, pelaku ancaman dapat mengeksekusi kode berbahayanya melalui klien Pembaruan Microsoft Windows dengan meneruskan argumen berikut: /UpdateDeploymentProvider, Jalur ke DLL berbahaya dan / Argumen RunHandlerComServer setelah DLL,” jelas para peneliti. Penulis

Malware sering membuat file dengan skrip virus dan menamainya dengan wuauclt.exe. Faktanya, pada Oktober 2020, wuauclt.exe telah ditambahkan ke daftar live off the land binary (LOLBins): executable yang ditandatangani oleh Microsoft yang digunakan penyerang untuk mengeksekusi kode berbahaya pada sistem Windows sambil menghindari deteksi.

“”Ini menarik teknik yang digunakan oleh Lazarus untuk menjalankan DLL berbahayanya menggunakan Windows Update Client untuk mem-bypass mekanisme deteksi keamanan, ”kata tim intelijen ancaman. “Dengan metode ini, pelaku ancaman dapat mengeksekusi kode berbahayanya melalui klien Pembaruan Microsoft Windows dengan meneruskan argumen berikut: /UpdateDeploymentProvider, Path ke argumen DLL berbahaya dan /RunHandlerComServer setelah DLL.” proses
Attack. Sumber: Malwarebytes Labs.
WindowsUpdateConf file lnk. Sumber: Malwarebytes Labs.

GitHub Digunakan sebagai C2 ‘Jarang’

Penggunaan GitHub sebagai C2 jarang terjadi, para peneliti mengamati, dan ini adalah pertama kalinya mereka melihat Lazarus melakukannya.

Tapi ini adalah pilihan yang tepat untuk tugas yang ada, mereka berkata: “Menggunakan GitHub sebagai C2 memiliki kelemahannya sendiri tetapi ini adalah pilihan cerdas untuk serangan yang ditargetkan dan jangka pendek karena mempersulit produk keamanan untuk membedakan antara koneksi yang sah dan berbahaya.” sebagai C2 dalam kampanye, Malwarebytes Labs melaporkannya “untuk konten berbahaya,” menurut writeup.