Certified Security Operations Center GmbH

9. März 2022

Hacker nutzen Windows Update-Dienst für Malware-Verbreitung

Die berüchtigte Lazarus-Gruppe mit Sitz in Nordkorea, die bei MITRE ATT&CK als APT38 bekannt ist, führt aktuell eine neue Kampagne durch, um den Windows Update-Dienst zur Ausführung bösartiger Payload zu nutzen. Dies ist eine Erweiterung des Arsenals an LotL-Techniken (living-off-the-land), die die APT-Gruppe zur Erreichung ihrer Ziele einsetzt.

Im Rahmen des jüngsten Spear-Phishing-Angriffs, der am 18. Januar 2022 von https://de.malwarebytes.com/ entdeckt wurde, gab sich die Lazarus-Gruppe als das US-Sicherheits- und Raumfahrtunternehmen Lockheed Martin aus und benutzte zwei mit Code geladene Dokumente (Lockheed_Martin_JobOpportunities.docx und Salary_Lockheed_Martin_job_opportunities_confidential.doc) mit berufsbezogenem Kontext als Köder.

Beim Öffnen der Datei mit Microsoft Word wird ein in das Dokument eingebettetes Makro ausgeführt, das Base64-decodierten Shellcode ausführt und eine Reihe von Malware-Komponenten in den explorer.exe-Prozess injiziert. Der nächste Schritt besteht darin, die Datei zu laden.

In der zweiten Phase verwendet eine der geladenen Binärdateien, „drops_lnk.dll“, den Windows Update-Client („wuauclt.exe“) – der als defensive Umgehungstechnik verwendet wird, um bösartige Aktivitäten mit legitimer Windows-Software zu vermischen – um einen Befehl zum Laden eines zweiten Moduls namens „wuaueng.dll“ im Windows/System32-Verzeichnis auszuführen.

Mit dieser Technik kann ein Angreifer die Sicherheitserkennungsmechanismen umgehen und schadhafte DLLs oder Code über den Windows Update-Client ausführen.

„wuaueng.dll“ wird verwendet, um eine Verbindung zu einem Command-and-Control-Server (C2) herzustellen. Dabei handelt sich um ein GitHub-Repository, das als PNG-Bilddateien getarnte bösartige Module hostet.

Unser Blue-Team erkennt solche Angriffsszenarien über die eingestelle Sysmon-Regel ‚Suspicious Process – explorer.exe‘ frühzeitig und kommuniziert diese unverzüglich an die betroffenen Kunden.

Quelle: https://thehackernews.com/

Unsere Maßnahmenempfehlungen

– Öffnen Sie keine Dateien oder Links, die an verdächtige E-Mails angehängt sind, da diese möglicherweise Malware enthalten.

– Rufen Sie dubiose Links oder gekürzte URLs nicht auf und prüfen Sie im Zweifelsfall mithilfe der Google-Suchmaschine bzw. anhand der Beschreibung auf der Ergebnisseite, ob die Website seriös ist.

– Verschieben Sie verdächtige E-Mails in Ihren Junk- oder Spam-Ordner oder löschen Sie diese dauerhaft.

– Die Ausführung von Makros sollte grundsätzlich nur mit festgelegten digitalen Signaturen erlaubt werden.

– Bieten Sie Mitarbeiter:innen regelmäßige Security Awareness Schulungen an, um sie im Umgang mit E-Mails zu sensibilisieren.

-Stellen Sie sicher, dass Betriebssystem-, Software- und Firmware-Patches installiert sind.

error: