Дослідники ESET виявили нового троянського коня (відомого як бекдор), який атакує окремих користувачів Windows. Об'єкти атаки, механізм та код вірусу вказують на те, що він міг бути створений відомим угрупуванням Lazarus, яке пов'язують з Північною Кореєю. Кіберзлочинці з цієї групи регулярно атакують південнокорейську інфраструктуру щонайменше з 2011 року. Вони також несуть відповідальність за атаки на Sony Pictures Entertainment.
Подробиці про новий вірус
Нещодавно виявлена загроза – це так званий завантажувач WinorDLL64, який використовується шкідливим інструментом Wslink. Він може викрадати, перезаписувати та видаляти файли, виконувати команди та отримувати велику кількість системної інформації. За принципом роботи та кодом він схожий на інші програми групи APT Lazarus. Тому він може бути одним з багатьох інструментів, підготовлених кіберзлочинцями, пов'язаними з Північною Кореєю.
"Wslink", ім'я файлу якого WinorLoaderDLL64.dll, – це завантажувач бінарних файлів Windows, який, на відміну від інших подібних програм, виконує роль сервера і зберігає отримані модулі в пам'яті. Як випливає з назви, завантажувач слугує інструментом для завантаження елементів або шкідливого програмного забезпечення у вже заражену систему. Елемент, завантажений через Wslink, може потім уможливити атаки бічного переміщення через його особливу схильність до мережевих сесій. Модуль завантаження Wslink прослуховує порт, вказаний у конфігурації, і може обробляти додаткові клієнти, що підключаються до нього, і навіть впроваджувати додаткові шкідливі елементи в систему", – пояснює дослідник ESET, який зробив це відкриття.
Новий троянський кінь був завантажений на сервіс ідентифікації загроз VirusTotal з Південної Кореї незабаром після того, як дослідники ESET опублікували інформацію про Wslink. ESET виявила лише кілька випадків його активності в Центральній Європі, Північній Америці та на Близькому Сході. Дослідники AhnLab, однак, підтвердили, що загроза атакувала південнокорейських користувачів. Це важлива інформація, враховуючи традиційні цілі Lazarus.
«Прихована кобра»
Пов'язана з Північною Кореєю група Lazarus діє щонайменше з 2009 року і несе відповідальність за такі резонансні злочини, як злам Sony Pictures Entertainment, кібератаки, що завдали збитків на десятки мільйонів доларів у 2016 році, атака WannaCryptor (також відома як WannaCry) у 2017 році та довгий список атак на державну та критичну інфраструктуру Південної Кореї щонайменше з 2011 року. US-CERT та ФБР називають цю групу HIDDEN COBRA.
