APT Lazarus ha una nuova backdoor nel suo arsenale

Molti elementi di un payload analizzato da ESET conducono al gruppo APT nord coreano Lazarus.

Autore: Redazione SecurityOpenLab

Esfiltrare, sovrascrivere e rimuovere file, eseguire comandi e ottenere ampie informazioni sul sistema di base sono alcune delle azioni che è in grado di svolgere uno dei payload di Wslink scoperto dai ricercatori di ESET e utilizzato dal gruppo APT Lazarus affiliato alla Corea del Nord. L’attribuzione è stata possibile per la localizzazione degli attacchi, che interessa per lo più la Corea del Sud, con solo casi sporadici in Europa centrale, Nord America e Medio Oriente. Inoltre, WinorDLL64 contiene sovrapposizioni sia nel comportamento che nel codice con diversi campioni di Lazarus.

Tutti i dettagli tecnici sull’attribuzione sono editi nel post ufficiale della ricerca del blog di ESET. In questa sede ci concentriamo invece sulle sue applicazioni pratiche. Come argomento il ricercatore di ESET a cui fa capo la scoperta, "Wslink (il cui nome file è WinorLoaderDLL64.dll), è un loader per i binari di Windows che, a differenza di altri loader di questo tipo, opera come server ed esegue i moduli ricevuti in memoria. Il payload di Wslink può essere sfruttato in un secondo momento per un movimento laterale, grazie al suo interesse specifico per le sessioni di rete. Il loader Wslink è in attesa su una porta specificata nella configurazione e può servire altri client connessi e persino caricare vari payload”.


Analogie fra il codice dell’operazione GhostSecret e quello di Wslink

L’impiego di un’arma simile da parte di Lazarus è preoccupante perché questo gruppo è responsabile di una lunga serie di incidenti di alto profilo come l'hack di Sony Pictures Entertainment, frodi informatiche da decine di milioni di dollari, l'epidemia di WannaCry del 2017 e una lunga serie di attacchi contro le infrastrutture pubbliche e critiche sudcoreane a partire almeno dal 2011.


Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.