Avoir une copie officielle et à jour du système d’exploitation Windows nous donne un certain degré de sécurité, étant donné que nous recevons régulièrement des mises à jour de sécurité.
Mais avez-vous déjà pensé que les mises à jour elles-mêmes pourraient un jour être utilisées contre nous ? Eh bien, il semble que ce jour soit enfin arrivé et les experts nous avertissent des conséquences possibles.
Récemment, un groupe de hackers nord-coréen appelé Lazarus a réussi à utiliser le client Windows Update pour exécuter du code malveillant sur les systèmes Windows.
Un groupe de hackers nord-coréen a compromis les mises à jour Windows
Vous vous demandez probablement dans quelles circonstances ce dernier stratagème ingénieux de cyberattaque a été découvert.
L’équipe Malwarebytes Threat Intelligence l’a fait en analysant une campagne de harponnage de janvier se faisant passer pour la société américaine de sécurité et d’aérospatiale Lockheed Martin.
Les attaquants à l’origine de cette campagne se sont assurés qu’après que les victimes aient ouvert les pièces jointes malveillantes et activé l’exécution de la macro, la macro intégrée déposerait le fichier WindowsUpdateConf.lnk dans le dossier de démarrage et le fichier DLL (wuaueng.dll) dans le dossier Windows/ caché. dossier System32.
L’étape suivante consiste à utiliser le fichier LNK pour lancer le client WSUS/Windows Update (wuauclt.exe) afin d’exécuter une commande qui télécharge la DLL malveillante.
L’équipe qui a découvert ces attaques les a liées à Lazarus sur la base de preuves existantes, y compris la duplication d’infrastructure, les métadonnées de documents et un ciblage similaire aux campagnes précédentes.
Lazarus met constamment à jour son ensemble d’outils pour contourner les mécanismes de sécurité et continuera sans aucun doute à le faire, en utilisant des techniques telles que l’utilisation de KernelCallbackTable pour intercepter le flux de contrôle et exécuter le shellcode.
Combinez cela avec l’utilisation du client Windows Update pour exécuter du code malveillant et de GitHub pour établir un lien avec C2, et vous avez une recette pour un désastre complet et total.
Maintenant que vous savez que cette menace est réelle, vous pouvez prendre des précautions supplémentaires pour éviter d’être victime d’intrus.
Votre ordinateur a-t-il déjà été infecté par des logiciels malveillants dangereux via une mise à jour Windows ? Partagez votre expérience avec nous dans la section des commentaires ci-dessous.
Laisser un commentaire