Новости Европейские организации попали под удар обновленного северокорейского вредоноса DTrack

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022

Специалисты Лаборатории Касперского приписывают серию кибератак группировке Lazarus.​


ck432urhroyova30xs67xzor2ijlajj7.jpg


Северокорейские хакеры атакуют организации в Европе и Латинской Америке обновленным вредоносным ПО DTrack – модульным бэкдором, выполняющим ряд следующих функций:

  • Кейлоггинг;
  • Перехват скриншотов;
  • Перехват IP-адресов/информации о сетевых подключениях;
  • Перехват запущенных процессов;
  • Сбор истории браузера.

Помимо сбора данных, вредонос умеет выполнять команды для проведения различных операций с файлами, получения дополнительной полезной нагрузки, кражи файлов и данных, а также запуска процессов на зараженном устройстве.

И пускай функционально новая версия DTrack не сильно отличается от старых образцов, злоумышленники стали пользоваться ей намного чаще, что подтверждает телеметрия Лаборатории Касперского – Для просмотра ссылки Войди или Зарегистрируйся был замечен в Германии, Бразилии, Индии, Италии, Мексике, Швейцарии, Саудовской Аравии, Турции и США. Основными целями хакеров стали правительственные исследовательские центры, аналитические центры, производители химической продукции, поставщики IT-услуг, телекоммуникационные компании, поставщики коммунальных услуг и образовательные учреждения.

Анализируя последнюю кампанию с использованием DTrack, специалисты ЛК обнаружили, что вредонос распространяется, маскируясь под легитимные файлы. В качестве примера эксперты разобрали файл под названием NvContainer.exe – такое же имя есть у легитимного файла от NVIDIA.

Чтобы заразить жертву бэкдором, злоумышленники взламывают сети, используя украденные учетные данные или незащищенные серверы с выходом в интернет. Попав в сеть, DTrack проходит через несколько этапов дешифровки, прежде чем ее полезная с помощью техники опустошения процесса будет внедрена в “explorer.exe”

У новой версии бэкдора есть два отличия от более старых:

  • Для загрузки библиотек и функций используется хэширование API вместо обфусцированных строк;
  • Количество C&C-серверов сократилось вдвое – до трех.

Проведя анализ, специалисты приписали атаки с использованием DTrack северокорейской группировке Для просмотра ссылки Войди или Зарегистрируйся и заявили, что злоумышленники используют бэкдор всякий раз, когда видят возможность получить финансовую выгоду.
 
Источник новости
https://www.securitylab.ru/news/534820.php

Похожие темы