Ngày 23 tháng 2 năm 2023Ravie Lakshmanan Đe dọa mạng / Bảo mật dữ liệu
Một cửa hậu mới được liên kết với trình tải xuống phần mềm độc hại có tên liên kết đã được phát hiện, với công cụ có khả năng được sử dụng bởi Tập đoàn Lazarus khét tiếng có liên kết với Triều Tiên, những phát hiện mới tiết lộ.
Tải trọng, được gọi là WinorDLL64 của ESET, là một bộ cấy đầy đủ tính năng có thể trích xuất, ghi đè và xóa các tệp; thực thi các lệnh PowerShell; và có được thông tin toàn diện về máy bên dưới.
Các tính năng khác của nó bao gồm liệt kê các phiên đang hoạt động, tạo và kết thúc các quy trình, liệt kê các ổ đĩa và nén thư mục.
Wslink được công ty an ninh mạng Slovakia ghi lại lần đầu tiên vào tháng 10 năm 2021, mô tả nó là một trình tải phần mềm độc hại “đơn giản nhưng đáng chú ý” có khả năng thực thi các mô-đun đã nhận trong bộ nhớ.
Nhà nghiên cứu Vladislav Hrčka của ESET cho biết: “Tải trọng Wslink có thể được tận dụng sau này để di chuyển ngang, do mối quan tâm cụ thể của nó đối với các phiên mạng”. “Trình tải Wslink lắng nghe trên một cổng được chỉ định trong cấu hình và có thể phục vụ các máy khách kết nối bổ sung và thậm chí tải nhiều trọng tải khác nhau.”
Các cuộc xâm nhập tận dụng phần mềm độc hại được cho là có mục tiêu cao do thực tế là cho đến nay chỉ có một số ít phát hiện được quan sát thấy ở Trung Âu, Bắc Mỹ và Trung Đông.
Vào tháng 3 năm 2022, ESET đã trình bày chi tiết về việc phần mềm độc hại này sử dụng bộ che giấu “máy ảo nhiều lớp nâng cao” để tránh bị phát hiện và chống lại kỹ thuật đảo ngược.
Các liên kết đến Lazarus Group bắt nguồn từ sự chồng chéo trong hành vi và mã với các chiến dịch trước đó – Chiến dịch GhostSecret và Bankshot – được quy cho mối đe dọa dai dẳng nâng cao.
Điều này bao gồm những điểm tương đồng với các mẫu GhostSecret được McAfee nêu chi tiết vào năm 2018, đi kèm với “thành phần cài đặt và thu thập dữ liệu” chạy dưới dạng dịch vụ, phản ánh hành vi tương tự của Wslink.
ESET cho biết tải trọng đã được tải lên cơ sở dữ liệu phần mềm độc hại VirusTotal từ Hàn Quốc, nơi có một số nạn nhân, làm tăng thêm độ tin cậy cho sự tham gia của Lazarus.
Những phát hiện này một lần nữa chứng minh kho công cụ hack khổng lồ được Lazarus Group sử dụng để xâm nhập vào các mục tiêu của nó.
ESET cho biết: “Tải trọng của Wslink được dành riêng để cung cấp phương tiện thao tác tệp, thực thi mã tiếp theo và thu thập thông tin mở rộng về hệ thống cơ bản có thể được tận dụng sau này cho chuyển động bên”.
