Los piratas informáticos de Lazarus usan Windows Update para implementar malware

El grupo de piratas informáticos respaldado por Corea del Norte, Lazarus, agregó el cliente de Windows Update a su lista de archivos binarios que viven fuera de la tierra (LoLBins) y ahora lo está utilizando activamente para ejecutar código malicioso en los sistemas de Windows.

El nuevo método de implementación de malware fue descubierto por el equipo de Malwarebytes Threat Intelligence mientras analizaba una campaña de phishing de enero que se hacía pasar por la empresa aeroespacial y de seguridad estadounidense Lockheed Martin.

Después de que las víctimas abren los archivos adjuntos maliciosos y habilitan la ejecución de macros, una macro incrustada suelta un archivo WindowsUpdateConf.lnk en la carpeta de inicio y un archivo DLL (wuaueng.dll) en una carpeta oculta de Windows/System32.

En la siguiente etapa, el archivo LNK se usa para iniciar el cliente WSUS/Windows Update (wuauclt.exe) para ejecutar un comando que carga la DLL maliciosa de los atacantes.

"Esta es una técnica interesante utilizada por Lazarus para ejecutar su archivo DLL malicioso usando Windows Update Client para eludir los mecanismos de detección de seguridad", dijo Malwarebytes.

Los investigadores vincularon estos ataques con Lazarus en función de varias pruebas, incluidas superposiciones de infraestructura, metadatos de documentos y objetivos similares a campañas anteriores.

Método de evasión de defensa revivido en nuevos ataques

Como informó BleepingComputer en octubre de 2020, esta táctica fue descubierta por el investigador de MDSec David Middlehurst, quien descubrió que los atacantes podían usar el cliente de Windows Update para ejecutar código malicioso en los sistemas Windows 10 (también vio una muestra usándolo en la naturaleza).

Esto se puede hacer cargando una DLL arbitraria especialmente diseñada usando las siguientes opciones de línea de comandos (el comando que Lazarus usó para cargar su carga útil maliciosa):

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

MITRE ATT & CK clasifica esta estrategia de evasión de defensa como Ejecución de proxy binario firmado a través de Rundll32, y permite a los atacantes eludir el software de seguridad, el control de aplicaciones y la protección de validación de certificados digitales.

En este caso, los actores de amenazas lo hacen mediante la ejecución de un código malicioso desde una DLL maliciosa previamente descargada, cargada con el binario firmado por Microsoft del cliente de Windows Update.

Notorio grupo de hackers de Corea del Norte

El Grupo Lazarus (también rastreado como HIDDEN COBRA por las agencias de inteligencia de EE. UU.) es un grupo de piratería militar de Corea del Norte activo durante más de una década, al menos desde 2009.

Sus operadores coordinaron la campaña global de ransomware WannaCry de 2017 y han estado detrás de los ataques contra empresas de alto perfil como Sony Films y varios bancos en todo el mundo.

El año pasado, Google detectó a Lazarus apuntando a investigadores de seguridad en enero como parte de complejos ataques de ingeniería social y una campaña similar durante marzo.

También se les observó usando la puerta trasera ThreatNeedle, previamente no documentada, en una campaña de ciberespionaje a gran escala contra la industria de defensa de más de una docena de países.

El Tesoro de EE. UU. sancionó a tres grupos de piratería patrocinados por la RPDC (Lazarus, Bluenoroff y Andariel) en septiembre de 2019, y el gobierno de EE. UU. ofrece una recompensa de hasta $ 5 millones por información sobre la actividad de Lazarus.