Kuzey Kore destekli APT grubu Lazarus, Windows Update’i Windows sistemlerinde Malware dağıtmak için aktif olarak kullanıyor. Kurbanla özel olarak hazırlanmış dosyaları açıp makro yürütmeyi etkinleştirdikten sonra, gömülü bir makro, başlangıç klasörüne bir WindowsUpdateConf.lnk dosyası ve gizli Windows/System32 klasörüne bir DLL dosyası (wuaueng.dll) ekliyor. Bir sonraki aşamada, LNK dosyası, saldırganların kötü niyetli DLL’sini yükleyen bir komutu yürütmek için WSUS / Windows Update istemcisini (wuauclt.exe) başlatmak için kullanıyor.
Aşağıdaki komut satırı (Lazarus’un malware yüklemek için kullandığı komut) kullanarak özel olarak hazırlanmış rastgele bir DLL yükleyerek yapıyor.
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
Bu sadırı, Lazarus’un ne ilk ne de son saldırısı özellikle 2009’dan bu yanan Dünya çabından yeni teknikler ile saldırılarına devam ediyor.
Kaynak: bleepingcomputer.com