Anche il gruppo APT Lazarus, noto per molti attacchi, utilizza un nuovo malware backdoor contro obiettivi in Europa. Secondo i ricercatori ESET, gli usi previsti sono lo spionaggio e la manipolazione dei dati.
I ricercatori di malware del produttore di sicurezza IT ESET hanno scoperto un nuovo pericoloso malware del famigerato gruppo APT Lazarus (Advanced Persistent Threat). La maggiore presenza in Corea del Sud, il codice e il comportamento della backdoor "WinorDLL64" suggeriscono che si tratti della banda di hacker alleata con la Corea del Nord. Tuttavia, la backdoor viene utilizzata anche per attacchi mirati in Medio Oriente e in Europa. Rilevamenti più recenti di WinorDLL64 sono stati effettuati presso le strutture di ricerca ESET nella Repubblica ceca.
Esfiltrazione e distruzione dei dati
Il codice dannoso può esfiltrare, sovrascrivere e rimuovere file, eseguire comandi e raccogliere informazioni dettagliate sul sistema sottostante. WinorDLL64 è uno dei componenti del minaccioso Wslink Downloader. “WSLINK è un cosiddetto caricatore per i binari di Windows, che, a differenza di altri caricatori di questo tipo, funziona come un server ed esegue i moduli ricevuti in memoria.
Come suggerisce la formulazione, un caricatore funge da strumento per caricare un payload o il malware effettivo sul sistema già compromesso", spiega il ricercatore ESET Vladislav Hrčka. “Il carico utile può essere successivamente utilizzato per movimenti laterali nella rete attaccata, poiché ha un interesse speciale per le sessioni di rete. In tal modo, Wslink è in ascolto su una porta specificata nella configurazione e può servire client di connessione aggiuntivi e persino caricare payload diversi", aggiunge.
Informazioni sul gruppo APT Lazarus
Il famigerato gruppo alleato della Corea del Nord è attivo almeno dal 2009 ed è responsabile di molti incidenti, alcuni spettacolari, come l'hack della Sony Pictures Entertainment, i furti informatici da decine di milioni di dollari nel 2016, il WannaCryptor (alias WannaCry ) nel 2017 e una lunga serie di attacchi alle infrastrutture pubbliche e critiche della Corea del Sud almeno dal 2011. US-CERT e FBI si riferiscono a questo gruppo come HIDDEN COBRA.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.