Blog Details

  • Home
  • Windows Update utilisé pour le déploiement d’un logiciel malicieux

Des pirates informatiques utilisent Windows Update et la technologie C2 pour contrôler l’exécution de code malicieux.

Un groupe de pirates nommé Lazarus, d’origine nord-coréenne, a récemment ajouté le logiciel client de Windows Update dans sa liste d’applications maintenant utilisées comme vecteurs d’attaques. Exclue depuis toujours des radars de détection en raison de son intégration implicite et légitime à même le système d’exploitation, le logiciel client de Windows Update est maintenant vu comme un tremplin pour exécuter des codes malicieux sur tous les systèmes Windows.

Cette nouvelle méthode de déploiement a été découverte par le service des renseignements sur les menaces chez Malwarebytes, alors qu’ils analysaient une campagne de harponnage (spearphishing) nouvellement lancée plus tôt ce mois-ci. Cette campagne usurpait l’identité de l’entreprise américaine en sécurité et en aérospatiale, Lockheed Martin. Elle utilisait la vulnérabilité des gens en proposant des opportunités de carrières prometteuses chez Lockheed Martin.

Après que les victimes de cette campagne ouvraient les documents Word joints au courriel et qu’elles répondaient par l’affirmative à la demande d’activation des macros, une macro imbriquée s’exécutait alors et déposait un fichier nommé WindowsUpdateConf.lnk dans le dossier de démarrage, ainsi qu’un fichier de librairies DLL nommé wuaueng.dll dans un dossier caché sous C:\Windows\System32. Lors du prochain redémarrage de l’ordinateur, le fichier LNK s’exécutait donc pour lancer le client Windows Update afin d’exécuter une commande pour lancer en mémoire le fichier DLL malicieux ingénieusement conçu par les pirates.

C2 – Command and Control

Afin de mener à exécution leur plan d’attaque de façon globale, les pirates utilisaient une librairie en ligne de codes nommée GitHub, y faisant référence comme un centre de contrôle et de commandement. Cette méthode permettait donc de diriger de manière centralisée l’exécution des commandes, ainsi que de peaufiner les commandes de manière centralisée, pour atteindre un plus grand nombre de victimes.

La librairie en ligne GitHub, appartenant à la société du même nom GitHub, fut acquise par Microsoft en 2018.

Tout ce plan d’attaque, originaire de la distribution de courriels de masse à des milliers, voire des centaires de milliers de victimes potentielles, a été mis à exécution en date du 17 janvier 2022. En date du 20 janvier, le fichier DLL malicieux n’avait pas encore été détecté par les logiciels antivirus. En date du 27 janvier dernier, seulement 5 sociétés de développement de logiciels antivirus sur 65 étaient au fait de l’exploitation malicieuse et l’ont ajouté à leurs engins de détection.

La sécurité – indispensable

Bien qu’il y ait des failles importantes dans la prévention de tout ce processus d’attaque, il demeure toujours indispensable de s’équiper de solutions technologiques capable d’intercepter toute tentative d’exploitation de vulnérabilités par le moyen de l’intelligence artificielle utilisant l’analyse des comportements et des accès pour déceler toute activité douteuse menant à l’exécution de codes malicieux.

SOS Info Tech – votre allié technologique en matière de sécurité

Nous avons l’expertise qu’il vous faut pour devenir votre allié dans la protection de vos actifs, de votre infrastructure et de vos appareils fixes et mobiles. Contactez-nous pour obtenir de plus amples renseignements. Il nous fera plaisir de vous démontrer comment un partenariat avec votre entreprise peut vous aider à demeurer protégés, tout en économisant considérablement sur les coûts d’opérations.

Liens de référence

https://blog.malwarebytes.com/threat-intelligence/2022/01/north-koreas-lazarus-apt-leverages-windows-update-client-github-in-latest-campaign/