Le groupe APT Lazarus, connu pour ses nombreuses attaques, utilise également un nouveau malware de porte dérobée contre des cibles en Europe. Selon les chercheurs d'ESET, les utilisations visées sont l'espionnage et la manipulation de données.
Les chercheurs en logiciels malveillants du fabricant de sécurité informatique ESET ont découvert un nouveau logiciel malveillant dangereux du célèbre groupe APT Lazarus (Advanced Persistent Threat). L'occurrence accrue en Corée du Sud, le code et le comportement de la porte dérobée "WinorDLL64" suggèrent qu'il s'agit du gang de hackers allié à la Corée du Nord. Cependant, la porte dérobée est également utilisée pour des attaques ciblées au Moyen-Orient et en Europe. Des détections plus récentes de WinorDLL64 ont été effectuées dans les installations de recherche d'ESET en République tchèque.
Exfiltration et destruction de données
Le code malveillant peut exfiltrer, écraser et supprimer des fichiers, exécuter des commandes et collecter des informations détaillées sur le système sous-jacent. WinorDLL64 est l'un des composants du sinistre Wslink Downloader. « WSLINK est un soi-disant chargeur pour les binaires Windows, qui, contrairement à d'autres chargeurs de ce type, fonctionne comme un serveur et exécute les modules reçus en mémoire.
Comme le suggère le libellé, un chargeur sert d'outil pour charger une charge utile ou le logiciel malveillant réel sur le système déjà compromis », explique Vladislav Hrčka, chercheur chez ESET. « La charge utile peut ensuite être utilisée pour des mouvements latéraux dans le réseau attaqué, car elle a un intérêt particulier pour les sessions réseau. Ce faisant, Wslink écoute sur un port spécifié dans la configuration et peut servir des clients de connexion supplémentaires et même charger différentes charges utiles », ajoute-t-il.
À propos du groupe APT Lazare
Le tristement célèbre groupe allié de la Corée du Nord est actif depuis au moins 2009 et est responsable de nombreux incidents, dont certains spectaculaires, comme le piratage de Sony Pictures Entertainment, les dizaines de millions de dollars de cybervols en 2016, le WannaCryptor (alias WannaCry ) en 2017 et une longue série d'attaques contre les infrastructures publiques et critiques de la Corée du Sud depuis au moins 2011. US-CERT et le FBI appellent ce groupe HIDDEN COBRA.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.