Новости Lazarus использует новый вредоносный инструмент для кражи конфиденциальных данных

ProstoOtrisovka

Новичок
ЗАБАНЕН
Регистрация
6/7/20
Сообщения
11
Репутация
205
Реакции
50
RUB
0
Сделок через гаранта
5
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Эксперты компании ESET сообщили о обнаружении нового бэкдора, который, вероятно, связан с северокорейской группой Lazarus. Этот инструмент, названный WinorDLL64, является полнофункциональным имплантатом, который может перезаписывать и удалять файлы, выполнять команды PowerShell, собирать конфиденциальную информацию о машине, создавать и завершать процессы, перечислять диски и сжимать каталоги.

Вредоносная программа использует загрузчик Wslink, который прослушивает порт, указанный в конфигурации, и может обрабатывать дополнительных подключающихся клиентов, а также загружать полезную нагрузку. Атаки с использованием бэкдора направлены на конкретные цели и были зарегистрированы только несколько раз в Центральной Европе, Северной Америке и на Ближнем Востоке.

Эксперты установили связь между бэкдором и Lazarus Group, основываясь на сходстве кода с образцами GhostSecret из предыдущих кампаний группы. Кроме того, полезная нагрузка была загружена в базу VirusTotal из Южной Кореи, где находятся некоторые из жертв, что также указывает на причастность Lazarus.

По словам исследователей, бэкдор может быть использован для бокового перемещения и предоставляет средства для манипулирования файлами, выполнения кода и получения обширной информации о базовой системе. В марте 2022 года было обнаружено, что вредоносная программа использует обфускатор «расширенной многоуровневой виртуальной машины», чтобы избежать обнаружения и противостоять реверс-инжинирингу.
Ответить TagЖалоба Изменить
Рекламировать
 
Сверху Снизу