Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Практикум "Управление уязвимостями: от теории к практике"

Полный цикл выстраивания процесса управления уязвимостями
Успей записаться

Европейские организации попали под удар обновленного северокорейского вредоноса DTrack

6537
Лаборатория Касперского DTrack бэкдор Lazarus Северная Корея
Европейские организации попали под удар обновленного северокорейского вредоноса DTrack
Лаборатория Касперского DTrack бэкдор Lazarus Северная Корея

Специалисты Лаборатории Касперского приписывают серию кибератак группировке Lazarus.

Северокорейские хакеры атакуют организации в Европе и Латинской Америке обновленным вредоносным ПО DTrack – модульным бэкдором, выполняющим ряд следующих функций:

  • Кейлоггинг;

  • Перехват скриншотов;

  • Перехват IP-адресов/информации о сетевых подключениях;

  • Перехват запущенных процессов;

  • Сбор истории браузера.

Помимо сбора данных, вредонос умеет выполнять команды для проведения различных операций с файлами, получения дополнительной полезной нагрузки, кражи файлов и данных, а также запуска процессов на зараженном устройстве.

И пускай функционально новая версия DTrack не сильно отличается от старых образцов, злоумышленники стали пользоваться ей намного чаще, что подтверждает телеметрия Лаборатории Касперского – бэкдор был замечен в Германии, Бразилии, Индии, Италии, Мексике, Швейцарии, Саудовской Аравии, Турции и США. Основными целями хакеров стали правительственные исследовательские центры, аналитические центры, производители химической продукции, поставщики IT-услуг, телекоммуникационные компании, поставщики коммунальных услуг и образовательные учреждения.

Анализируя последнюю кампанию с использованием DTrack, специалисты ЛК обнаружили, что вредонос распространяется, маскируясь под легитимные файлы. В качестве примера эксперты разобрали файл под названием NvContainer.exe – такое же имя есть у легитимного файла от NVIDIA.

Чтобы заразить жертву бэкдором, злоумышленники взламывают сети, используя украденные учетные данные или незащищенные серверы с выходом в интернет. Попав в сеть, DTrack проходит через несколько этапов дешифровки, прежде чем ее полезная с помощью техники опустошения процесса будет внедрена в “explorer.exe”

У новой версии бэкдора есть два отличия от более старых:

  • Для загрузки библиотек и функций используется хэширование API вместо обфусцированных строк;

  • Количество C&C-серверов сократилось вдвое – до трех.

Проведя анализ, специалисты приписали атаки с использованием DTrack северокорейской группировке Lazarus и заявили, что злоумышленники используют бэкдор всякий раз, когда видят возможность получить финансовую выгоду.