Certified Security Operations Center GmbH

9. März 2022

Hacker nutzen Windows Update-Dienst für Malware-Verbreitung

Die berüchtigte Lazarus-Gruppe mit Sitz in Nordkorea, die bei MITRE ATT&CK als APT38 bekannt ist, führt aktuell eine neue Kampagne durch, um den Windows Update-Dienst zur Ausführung bösartiger Payload zu nutzen. Dies ist eine Erweiterung des Arsenals an LotL-Techniken (living-off-the-land), die die APT-Gruppe zur Erreichung ihrer Ziele einsetzt.

Im Rahmen des jüngsten Spear-Phishing-Angriffs, der am 18. Januar 2022 von https://de.malwarebytes.com/ entdeckt wurde, gab sich die Lazarus-Gruppe als das US-Sicherheits- und Raumfahrtunternehmen Lockheed Martin aus und benutzte zwei mit Code geladene Dokumente (Lockheed_Martin_JobOpportunities.docx und Salary_Lockheed_Martin_job_opportunities_confidential.doc) mit berufsbezogenem Kontext als Köder.

Beim Öffnen der Datei mit Microsoft Word wird ein in das Dokument eingebettetes Makro ausgeführt, das Base64-decodierten Shellcode ausführt und eine Reihe von Malware-Komponenten in den explorer.exe-Prozess injiziert. Der nächste Schritt besteht darin, die Datei zu laden.

In der zweiten Phase verwendet eine der geladenen Binärdateien, „drops_lnk.dll“, den Windows Update-Client („wuauclt.exe“) – der als defensive Umgehungstechnik verwendet wird, um bösartige Aktivitäten mit legitimer Windows-Software zu vermischen – um einen Befehl zum Laden eines zweiten Moduls namens „wuaueng.dll“ im Windows/System32-Verzeichnis auszuführen.

Mit dieser Technik kann ein Angreifer die Sicherheitserkennungsmechanismen umgehen und schadhafte DLLs oder Code über den Windows Update-Client ausführen.

„wuaueng.dll“ wird verwendet, um eine Verbindung zu einem Command-and-Control-Server (C2) herzustellen. Dabei handelt sich um ein GitHub-Repository, das als PNG-Bilddateien getarnte bösartige Module hostet.

Unser Blue-Team erkennt solche Angriffsszenarien über die eingestelle Sysmon-Regel ‚Suspicious Process – explorer.exe‘ frühzeitig und kommuniziert diese unverzüglich an die betroffenen Kunden.

Quelle: https://thehackernews.com/

Unsere Maßnahmenempfehlungen

– Öffnen Sie keine Dateien oder Links, die an verdächtige E-Mails angehängt sind, da diese möglicherweise Malware enthalten.

– Rufen Sie dubiose Links oder gekürzte URLs nicht auf und prüfen Sie im Zweifelsfall mithilfe der Google-Suchmaschine bzw. anhand der Beschreibung auf der Ergebnisseite, ob die Website seriös ist.

– Verschieben Sie verdächtige E-Mails in Ihren Junk- oder Spam-Ordner oder löschen Sie diese dauerhaft.

– Die Ausführung von Makros sollte grundsätzlich nur mit festgelegten digitalen Signaturen erlaubt werden.

– Bieten Sie Mitarbeiter:innen regelmäßige Security Awareness Schulungen an, um sie im Umgang mit E-Mails zu sensibilisieren.

-Stellen Sie sicher, dass Betriebssystem-, Software- und Firmware-Patches installiert sind.

error:
Unsere Website nutzt Cookies
Wir nutzen ausschließlich funktionale Cookies, die für den grundlegenden Betrieb unserer Website unerlässlich sind. Bitte klicken Sie auf 'Erforderliche Cookies erlauben', um die Cookies zu aktivieren, die für die einwandfreie Funktion und Nutzung der Webseite unbedingt notwendig sind. Weitere Informationen zur Verwendung von Cookies finden Sie in unserer Datenschutzerklärung.
Erforderliche Cookies erlauben
Ablehnen