- Регистрация
- 5 Окт 2020
- Сообщения
- 1,146
- Баллы
- 0
- Адрес
- https://otrisovka.org/
- Веб-сайт
- t.me
- Общие продажи
- 0$
- Общие покупки
- 0$
Эксперты компании ESET сообщили о обнаружении нового бэкдора, который, вероятно, связан с северокорейской группой Lazarus. Этот инструмент, названный WinorDLL64, является полнофункциональным имплантатом, который может перезаписывать и удалять файлы, выполнять команды PowerShell, собирать конфиденциальную информацию о машине, создавать и завершать процессы, перечислять диски и сжимать каталоги.
Вредоносная программа использует загрузчик Wslink, который прослушивает порт, указанный в конфигурации, и может обрабатывать дополнительных подключающихся клиентов, а также загружать полезную нагрузку. Атаки с использованием бэкдора направлены на конкретные цели и были зарегистрированы только несколько раз в Центральной Европе, Северной Америке и на Ближнем Востоке.
Эксперты установили связь между бэкдором и Lazarus Group, основываясь на сходстве кода с образцами GhostSecret из предыдущих кампаний группы. Кроме того, полезная нагрузка была загружена в базу VirusTotal из Южной Кореи, где находятся некоторые из жертв, что также указывает на причастность Lazarus.
По словам исследователей, бэкдор может быть использован для бокового перемещения и предоставляет средства для манипулирования файлами, выполнения кода и получения обширной информации о базовой системе. В марте 2022 года было обнаружено, что вредоносная программа использует обфускатор «расширенной многоуровневой виртуальной машины», чтобы избежать обнаружения и противостоять реверс-инжинирингу.
Вредоносная программа использует загрузчик Wslink, который прослушивает порт, указанный в конфигурации, и может обрабатывать дополнительных подключающихся клиентов, а также загружать полезную нагрузку. Атаки с использованием бэкдора направлены на конкретные цели и были зарегистрированы только несколько раз в Центральной Европе, Северной Америке и на Ближнем Востоке.
Эксперты установили связь между бэкдором и Lazarus Group, основываясь на сходстве кода с образцами GhostSecret из предыдущих кампаний группы. Кроме того, полезная нагрузка была загружена в базу VirusTotal из Южной Кореи, где находятся некоторые из жертв, что также указывает на причастность Lazarus.
По словам исследователей, бэкдор может быть использован для бокового перемещения и предоставляет средства для манипулирования файлами, выполнения кода и получения обширной информации о базовой системе. В марте 2022 года было обнаружено, что вредоносная программа использует обфускатор «расширенной многоуровневой виртуальной машины», чтобы избежать обнаружения и противостоять реверс-инжинирингу.
