Некоторые умники обнаружили новый бэкдор WinorDLL64 вероятно используемый Lazarus Group
Приветствую тебя, мой дорогой друг!
Похоже, что некоторые умники обнаружили новый бэкдор под названием WinorDLL64. Этот инструмент связан с загрузчиком вредоносного ПО под названием Wslink, и представляется весьма вероятным, что его использует печально известная группа Lazarus Group.
Эта группа, действующая как минимум с 2009 года, связана с Северной Кореей и в течение многих лет была ответственна за всевозможные махинации, включая взлом Sony Pictures Entertainment и различные киберхулиганства. Это, мягко говоря, те еще нарушители спокойствия!
В прошлом году ESET обнаружили, что Lazarus использовал определенную уязвимость для нападения на определенных лиц. Эта уязвимость позволяла им отключать мониторинг всех решений безопасности на взломанных машинах, что является довольно гнусным делом.
Полезная нагрузка этого WinorDLL64 полнофункциональный имплант, который может делать всевозможные вещи, такие как эксфильтрация, перезапись и удаление файлов, выполнение команд PowerShell и сбор информации о машине. Он даже может составлять список активных сессий, создавать и завершать процессы, перечислять диски и сжимать каталоги. Довольно впечатляюще, не так ли?
По словам словацкой фирмы по кибербезопасности, которая первой задокументировала Wslink, этот загрузчик вредоносных программ "прост, но замечателен". Судя по всему, он может выполнять полученные модули в памяти, и его весьма интересуют сетевые сессии. Это делает его основным инструментом для латерального перемещения, и, вероятно, именно поэтому вторжения с использованием этой вредоносной программы являются очень целенаправленными.
И если этого недостаточно, ESET подробно описала использование вредоносной программой "продвинутого многоуровневого обфускатора виртуальной машины" для обхода обнаружения и противодействия обратному инжинирингу. Эти специалисты действительно знают свое дело!
Технический анализ
Совпадение кода в функциональности отправки файлов показано на скриншотах.
Основная часть цикла приема команд бэкдора
https://www.virustotal.com/gui/file/3bc8bbf4a1b3596e54e20609c398eab877c581ea369f6e1ef0ab0f9afe330d12/
WinorDLL64, которая функционирует как бэкдор, способный выполнять обширный сбор системной информации, манипуляции с файлами и выполнение дополнительных команд. Интересно, что он использует установленное TCP-соединение и некоторые функции загрузчика.
Этот бэкдор представляет собой DLL с одним безымянным экспортом, который в качестве единственного параметра получает структуру для связи. Структура содержит TLS-контекст с сокетом, ключом, IV и обратными вызовами, которые шифруют сообщения 256-битным AES-CBC для безопасного обмена данными с оператором.
Эта новая угроза была связана с печально известной группой Lazarus Group, известной своей тактикой передовых постоянных угроз и громкими кибератаками. Сходство между WinorDLL64 и предыдущими кампаниями Lazarus Group, Operation GhostSecret и Bankshot, свидетельствует об их причастности. Образцы GhostSecret, подробно описанные McAfee в 2018 году, имеют сходство с Wslink, который имеет общий "компонент сбора данных и установки имплантатов", работающий как сервис.
Компания ESET, специализирующаяся на кибербезопасности и обнаружившая угрозу, сообщает, что полезная нагрузка была загружена в базу данных вредоносных программ VirusTotal из Южной Кореи, где находятся некоторые из жертв. Этот вывод еще больше подтверждает связь с Lazarus Group.
Как всегда, обширный арсенал хакерских инструментов Lazarus Group позволяет им проникать в свои цели, используя различные методы. Полезная нагрузка Wslink предлагает средства для манипулирования файлами, выполнения дополнительного кода и получения обширной информации о базовой системе, которая впоследствии может быть использована для латерального перемещения.
Загрузчик Wslink прослушивает порт, указанный в конфигурации, и может обслуживать дополнительных подключающихся клиентов и даже загружать различные полезные нагрузки. WinorDLL64 имеет общие черты среды разработки, поведения и кода с несколькими образцами Lazarus, что указывает на то, что это, вероятно, еще один инструмент в их арсенале.
Берегите свои системы, друзья мои. Цифровой мир может быть коварным.
Не падайте в кроличью нору самоуспокоенности, когда речь идет о киберугрозах. Будьте бдительны, информированы и всегда готовы защитить свои цифровые активы от любых злоумышленников.
Помните, что, как и Чеширский кот, хакеры могут быть неуловимыми и их трудно поймать. Но при наличии необходимых инструментов и зоркого глаза вы сможете вычислить их след и защитить свою систему от их уловок и ловушек.
Что получится, если скрестить Чеширского кота с компьютером? Вредоносный кот, который всегда ухмыляется от уха до уха!
https://thehackernews.com/2023/02/lazarus-group-using-new-winordll64.html
https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal/
https://thehackernews.com/2022/03/experts-detail-virtual-machine-used-by.html
https://www.welivesecurity.com/2021/10/27/wslink-unique-undocumented-malicious-loader-runs-server/
https://www.virustotal.com/gui/file/3bc8bbf4a1b3596e54e20609c398eab877c581ea369f6e1ef0ab0f9afe330d12/
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide/
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/hidden-cobra-targets-turkish-financial-sector-new-bankshot-implant/