Поддерживаемая Северной Кореей хакерская группа Lazarus добавила клиент Центра обновления Windows в свой список файлов, который активно использует его для выполнения вредоносного кода в системах Windows.
Новый метод развертывания вредоносного ПО был обнаружен командой Malwarebytes Threat Intelligence при анализе январской фишинговой кампании, выдаваемой за американскую компанию по безопасности и аэрокосмической отрасли Lockheed Martin.
После того как жертвы открывают вредоносные вложения и разрешают выполнение макроса, встроенный макрос сбрасывает файл WindowsUpdateConf.lnk в папку автозагрузки и файл DLL (wuaueng.dll) в скрытую папку Windows/System32.
«Это интересный метод, используемый Lazarus для запуска своей вредоносной DLL с помощью клиента Windows Update для обхода механизмов обнаружения безопасности», — говорится в сообщении Malwarebytes.
Исследователи связали эти атаки с Lazarus на основе нескольких доказательств, включая дублирование инфраструктуры, метаданные документов и таргетинг, аналогичный предыдущим кампаниям.