Група APT Lazarus, відома багатьма атаками, також використовує нове бекдорне шкідливе програмне забезпечення проти цілей у Європі. За словами дослідників ESET, передбачуваним використанням є шпигунство та маніпулювання даними.
Дослідники зловмисного програмного забезпечення виробника ІТ-безпеки ESET виявили нову небезпечну шкідливу програму від сумнозвісної групи APT Lazarus (Advanced Persistent Threat). Почастішання випадків у Південній Кореї, код і поведінка бекдора «WinorDLL64» свідчать про те, що це банда хакерів, пов’язана з Північною Кореєю. Однак бекдор також використовується для цілеспрямованих атак на Близькому Сході та в Європі. Останні виявлення WinorDLL64 було зроблено в дослідницьких центрах ESET у Чеській Республіці.
Викрадання та знищення даних
Шкідливий код може викрадати, перезаписувати та видаляти файли, виконувати команди та збирати велику кількість інформації про базову систему. WinorDLL64 є одним із компонентів зловісного Wslink Downloader. «WSLINK — це так званий завантажувач для бінарних файлів Windows, який, на відміну від інших подібних завантажувачів, працює як сервер і виконує отримані модулі в пам’яті.
Як випливає з формулювання, завантажувач служить інструментом для завантаження корисного навантаження або фактичного шкідливого програмного забезпечення у вже скомпрометовану систему», — пояснює дослідник ESET Владислав Хрка. «Корисне навантаження пізніше може бути використане для бічних переміщень в атакуваній мережі, оскільки воно має особливий інтерес до мережевих сеансів. Роблячи це, Wslink слухає порт, указаний у конфігурації, і може обслуговувати додаткові клієнти з’єднання та навіть завантажувати різні корисні дані», – додає він.
Про APT Lazarus Group
Сумно відоме угруповання, пов’язане з Північною Кореєю, діє щонайменше з 2009 року та несе відповідальність за багато інцидентів, деякі вражаючі, такі як злом Sony Pictures Entertainment, кіберкрадіжки на десятки мільйонів доларів у 2016 році, WannaCryptor (він же WannaCry ) у 2017 році та довгий ряд атак на громадську та критичну інфраструктуру Південної Кореї принаймні з 2011 року. US-CERT і ФБР називають цю групу HIDDEN COBRA.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.