Die berüchtigte Lazarus-Gruppe mit Sitz in Nordkorea, die bei MITRE ATT&CK als APT38 bekannt ist, führt aktuell eine neue Kampagne durch, um den Windows Update-Dienst zur Ausführung bösartiger Payload zu nutzen. Dies ist eine Erweiterung des Arsenals an LotL-Techniken (living-off-the-land), die die APT-Gruppe zur Erreichung ihrer Ziele einsetzt.
Im Rahmen des jüngsten Spear-Phishing-Angriffs, der am 18. Januar 2022 von https://de.malwarebytes.com/ entdeckt wurde, gab sich die Lazarus-Gruppe als das US-Sicherheits- und Raumfahrtunternehmen Lockheed Martin aus und benutzte zwei mit Code geladene Dokumente (Lockheed_Martin_JobOpportunities.docx und Salary_Lockheed_Martin_job_opportunities_confidential.doc) mit berufsbezogenem Kontext als Köder.
Beim Öffnen der Datei mit Microsoft Word wird ein in das Dokument eingebettetes Makro ausgeführt, das Base64-decodierten Shellcode ausführt und eine Reihe von Malware-Komponenten in den explorer.exe-Prozess injiziert. Der nächste Schritt besteht darin, die Datei zu laden.
In der zweiten Phase verwendet eine der geladenen Binärdateien, „drops_lnk.dll“, den Windows Update-Client („wuauclt.exe“) – der als defensive Umgehungstechnik verwendet wird, um bösartige Aktivitäten mit legitimer Windows-Software zu vermischen – um einen Befehl zum Laden eines zweiten Moduls namens „wuaueng.dll“ im Windows/System32-Verzeichnis auszuführen.
Mit dieser Technik kann ein Angreifer die Sicherheitserkennungsmechanismen umgehen und schadhafte DLLs oder Code über den Windows Update-Client ausführen.
„wuaueng.dll“ wird verwendet, um eine Verbindung zu einem Command-and-Control-Server (C2) herzustellen. Dabei handelt sich um ein GitHub-Repository, das als PNG-Bilddateien getarnte bösartige Module hostet.
Unser Blue-Team erkennt solche Angriffsszenarien über die eingestelle Sysmon-Regel ‚Suspicious Process – explorer.exe‘ frühzeitig und kommuniziert diese unverzüglich an die betroffenen Kunden.
Quelle: https://thehackernews.com/
Unsere Maßnahmenempfehlungen
– Öffnen Sie keine Dateien oder Links, die an verdächtige E-Mails angehängt sind, da diese möglicherweise Malware enthalten.
– Rufen Sie dubiose Links oder gekürzte URLs nicht auf und prüfen Sie im Zweifelsfall mithilfe der Google-Suchmaschine bzw. anhand der Beschreibung auf der Ergebnisseite, ob die Website seriös ist.
– Verschieben Sie verdächtige E-Mails in Ihren Junk- oder Spam-Ordner oder löschen Sie diese dauerhaft.
– Die Ausführung von Makros sollte grundsätzlich nur mit festgelegten digitalen Signaturen erlaubt werden.
– Bieten Sie Mitarbeiter:innen regelmäßige Security Awareness Schulungen an, um sie im Umgang mit E-Mails zu sensibilisieren.
-Stellen Sie sicher, dass Betriebssystem-, Software- und Firmware-Patches installiert sind.