De beruchte Lazarus Group-acteur is waargenomen bij het opzetten van een nieuwe campagne die gebruik maakt van de Windows Update-service om zijn kwaadaardige lading uit te voeren, waardoor het arsenaal aan living-off-the-land (LotL)-technieken wordt uitgebreid die door de APT-groep worden gebruikt om zijn doelen te bereiken .
De Lazarus Groep, ook wel bekend als APT38Hidden Cobra, Whois Hacking Team en Zinc, is de bijnaam die is toegewezen aan de in Noord-Korea gevestigde hackgroep die al sinds 2009 actief is. Vorig jaar werd de dreigingsactor gekoppeld aan een uitgebreide social engineering-campagne gericht op beveiliging onderzoekers.
De nieuwste spear-phishing-aanvallen, die Malwarebytes die op 18 januari werden gedetecteerd, zijn afkomstig van bewapende documenten met kunstaas met een werkthema dat zich voordoet als het Amerikaanse wereldwijde beveiligings- en ruimtevaartbedrijf Lockheed Martin.
Het openen van het lokmiddel Microsoft Word-bestand activeert de uitvoering van een kwaadaardige macro die is ingebed in het document, die op zijn beurt een Base64-gedecodeerde shellcode uitvoert om een aantal malwarecomponenten in het explorer.exe-proces te injecteren.
In de volgende fase maakt een van de geladen binaire bestanden, “drops_lnk.dll”, gebruik van de Windows Update-client om een tweede module met de naam “wuaueng.dll” uit te voeren. “Dit is een interessante techniek die door Lazarus wordt gebruikt om zijn kwaadaardige DLL uit te voeren met behulp van de Windows Update Client om beveiligingsdetectiemechanismen te omzeilen”, merkten onderzoekers Ankur Saini en Hossein Jazi op.
Het cyberbeveiligingsbedrijf karakteriseerde “wuaueng.dll” als “een van de belangrijkste DLL’s in de aanvalsketen”, waarvan het belangrijkste doel is om communicatie tot stand te brengen met een command-and-control (C2) -server – een GitHub-opslagplaats die kwaadaardige modules host die zich voordoen als PNG-afbeeldingsbestanden. Het GitHub-account zou op 17 januari 2022 zijn aangemaakt.
Malwarebytes zei dat de links naar Lazarus Group gebaseerd zijn op verschillende bewijsstukken die hen verbinden met eerdere aanvallen door dezelfde actor, inclusief infrastructuuroverlappingen, documentmetadata en het gebruik van een vacaturesjabloon om de slachtoffers te onderscheiden.
“Lazarus APT is een van de geavanceerde APT-groepen waarvan bekend is dat ze zich richten op de defensie-industrie”, concluderen de onderzoekers. “De groep blijft zijn toolset updaten om beveiligingsmechanismen te omzeilen. Hoewel ze hun oude taakthema-methode hebben gebruikt, hebben ze verschillende nieuwe technieken gebruikt om detecties te omzeilen.”
