Lazarus использует новый вредоносный инструмент для кражи конфиденциальных данных

  • Автор темы prostootrisovka
  • Дата начала
prostootrisovka

prostootrisovka

Легендарный Отрисовщик
Проверенный продавец
Регистрация
11 Фев 2021
Сообщения
908
Реакции
6
Баллы
18
Возраст
31
Адрес
https://otrisovka.org/
Веб-сайт
t.me
Эксперты компании ESET сообщили о обнаружении нового бэкдора, который, вероятно, связан с северокорейской группой Lazarus. Этот инструмент, названный WinorDLL64, является полнофункциональным имплантатом, который может перезаписывать и удалять файлы, выполнять команды PowerShell, собирать конфиденциальную информацию о машине, создавать и завершать процессы, перечислять диски и сжимать каталоги.

Вредоносная программа использует загрузчик Wslink, который прослушивает порт, указанный в конфигурации, и может обрабатывать дополнительных подключающихся клиентов, а также загружать полезную нагрузку. Атаки с использованием бэкдора направлены на конкретные цели и были зарегистрированы только несколько раз в Центральной Европе, Северной Америке и на Ближнем Востоке.

Эксперты установили связь между бэкдором и Lazarus Group, основываясь на сходстве кода с образцами GhostSecret из предыдущих кампаний группы. Кроме того, полезная нагрузка была загружена в базу VirusTotal из Южной Кореи, где находятся некоторые из жертв, что также указывает на причастность Lazarus.

По словам исследователей, бэкдор может быть использован для бокового перемещения и предоставляет средства для манипулирования файлами, выполнения кода и получения обширной информации о базовой системе. В марте 2022 года было обнаружено, что вредоносная программа использует обфускатор «расширенной многоуровневой виртуальной машины», чтобы избежать обнаружения и противостоять реверс-инжинирингу.
 

Similar Threads

Proxies
Ответы
1
Просмотры
266
Proxies
Proxies
M
Ответы
7
Просмотры
505
milozare
M
I
Ответы
0
Просмотры
200
ibraproof
I
miragemadame
Ответы
0
Просмотры
86
miragemadame
miragemadame