Kuzey Koreli hacker grubu olan Lazarus’un Windows Update’i kullandıkları tespit edildi.
Malwarebytes Labs’ın yaptığı açıklamaya göre, hacker grubu Lazarus Windows Update istemcisini kötü amaçlı kod dağıtmak için kullanıyor. Bu sayede hacker’lar güvenlik mekanizmalarından kaçınabiliyor, saldırıları için komuta ve kontrol sunucusu olarak Github’dan yararlanabiliyorlar.
Lazarus’un Word belgelerine kötü amaçlı komut yerleştirdiği ve komut etkinleştirildikten sonra sisteme sızdıkları belirtildi. Dikkat çeken nokta ise sızma komutlarının bir kısmının kötü amaçlı DLL yüklemek için Windows Update istemcisini kullanması oldu.
Saldırının alışılan kimlik avlarından biri olmadığı düşünülürken, Lazarus’un bir yılı aşkın süredir kullandığı ‘Dream Job’ (hayalimdeki meslek) operasyonu olarak bilinen stratejinin aynısı olduğu vurgulandı.
Geçtiğimiz haftalarda Malwarebytes İstihbarat ekibi, Lockheed Martin şirketinin iki farklı kimlik avı saldırısına uğradığını açıklamıştı. Bunun üzerine Lazarus hacker grubunun devletlerin savunma ve havacılıkta uzmanlaşmış üst düzey devlet kurumlarına saldırdığı, istihbarat verilerini çaldığını ifade etmişti.
Malwarebytes, ESET ve MacAfee dahil olmak üzere birtakım güvenlik ekiplerinin ise yeni hamlesi için Kuzey Koreli grup Lazarus’u dikkatle izlediği görülüyor.
