A ESET descobriu um método de ataque secreto potencialmente ligado a grupo cibercriminoso norte-coreano. O grupo Lazarus foi responsável por incidentes de alto perfil como o ciberataque à Sony Pictures Entertainment em 2014.
Investigadores da ESET descobriram a backdoor WinorDLL64
Os investigadores da ESET descobriram a backdoor WinorDLL64, um dos componentes descarregados pelo downloader Wslink. A região visada e semelhanças de comportamento e código sugerem que a ferramenta é usada pelo conhecido grupo cibercriminoso norte-coreano Lazarus. A carga do Wslink consegue extrair, substituir e remover ficheiros, executar comandos e obter informações sobre o sistema subjacente.
Vladislav Hrčka, o investigador da ESET que fez a descoberta referiu que…
O Wslink, cujo nome de ficheiro é WinorLoaderDLL64.dll, é um downloader para Windows que, ao contrário da maioria dos outros loaders deste tipo, corre como servidor e executa módulos recebidos em memória. Tal como o nome sugere, um loader serve como ferramenta para instalar uma carga maliciosa, ou o malware em si, num sistema previamente comprometido.
A carga do Wslink pode ser usada mais tarde para movimento lateral, devido ao seu interesse específico em sessões de rede. O Wslink escuta uma porta especificada na sua configuração e pode atuar como servidor para clientes adicionais, e até instalar várias cargas
O WinorDLL64 contém semelhanças tanto em comportamento como em código com várias amostras do grupo Lazarus, o que indica que pode ser uma das ferramentas do vasto arsenal deste grupo norte-coreano.
A carga inicialmente desconhecida do Wslink foi carregada para a base de dados VirusTotal a partir da Coreia do Sul pouco tempo depois da publicação de um artigo da ESET sobre o Wslink. A telemetria da ESET só detetou algumas instâncias do Wslink na Europa Central, América do Norte e Médio Oriente.
Ativo desde pelo menos 2009, o grupo Lazarus é responsável por incidentes de alto perfil como o ciberataque à Sony Pictures Entertainment em 2014, os ciberataques de dezenas de milhões de dólares em 2016, o ransomware WannaCryptor (também conhecido por WannaCry) em 2017 e um longo histórico de ciberataques disruptivos contra a infraestrutura pública da Coreia do Sul desde pelo menos 2011. A US-CERT e o FBI chamam a este grupo HIDDEN COBRA.