可用-黑客

卡巴斯基最新发现!朝鲜黑客使用新的恶意软件瞄准欧洲组织

  • 浏览次数 5651
  • 喜欢 0
  • 评分 12345

640

朝鲜黑客正在使用新版本的 DTrack 后门来攻击欧洲和拉丁美洲的组织。DTrack 是一个模块化后门,具有键盘记录器、屏幕截图捕捉器、浏览器历史记录检索器、运行进程窥探器、IP 地址和网络连接信息捕捉器等。

除了间谍之外,它还可以运行命令来执行文件操作、获取额外的有效负载、窃取文件和数据,以及在受感染的设备上执行进程。与过去分析的样本相比,新的恶意软件版本没有太多功能或代码更改,但现在部署范围更广。

分布更广

正如卡巴斯基在今天发布的一份报告中所解释的那样,他们的遥测显示了德国、巴西、印度、意大利、墨西哥、瑞士、沙特阿拉伯、土耳其和美国的 DTrack 活动。

目标行业包括政府研究中心、政策机构、化学品制造商、IT 服务提供商、电信提供商、公用事业服务提供商和教育。在新的攻击活动中,卡巴斯基发现 DTrack 使用通常与合法可执行文件关联的文件名进行分发。

例如, 他们共享的一个样本 以“NvContainer.exe”文件名分发,该文件名与合法的 NVIDIA 文件同名。

卡巴斯基指出,DTrack 继续通过使用窃取的凭据破坏网络或利用暴露在 Internet 上的服务器来安装,如 之前的活动所示。启动后,恶意软件会经过多个解密步骤,然后通过挖空进程将其最终有效负载加载到直接从内存运行的“explorer.exe”进程中。

640 (1)

与过去的 DTrack 变体的唯一区别是它现在使用 API 散列来加载库和函数而不是混淆字符串,并且 C2 服务器的数量已减少一半,仅为三个。

卡巴斯基发现的一些 C2 服务器是:

“pinkgoat[.]com”、

“purewatertokyo[.]com”

“purplebear[.]com”

“salmonrabbit[.]com”

DTrack归因

卡巴斯基将此活动归因于朝鲜 Lazarus 黑客组织,并声称威胁行为者只要看到潜在的经济利益就会使用 DTrack。

2022 年 8 月,同一研究人员将该后门与被追踪为“ Andariel ”的朝鲜黑客组织联系起来,该组织在美国和韩国的企业网络中部署了 Maui 勒索软件。

2020 年 2 月,Dragos 将 DTrack 与攻击核能和油气设施的朝鲜威胁组织“ Wassonite ”联系起来。


转自 E安全,原文链接:https://mp.weixin.qq.com/s/KkMllkVWQMf79rys8iZllQ

封面来源于网络,如有侵权请联系删除