Северокорейские хакеры возвращаются с обновленной версией этой опасной вредоносной программы
вычисления techradar.com Новости

Северокорейские хакеры возвращаются с обновленной версией этой опасной вредоносной программы

17 ноября 2022 г.

Печально известная северокорейская хакерская группа Lazarus Group использует обновленную версию своего бэкдора DTrack для нападения на фирмы в Европе и Латинской Америке. Исследователи «Лаборатории Касперского» говорят, что группа гонится за деньгами, так как кампания нацелена исключительно на получение прибыли.

BleepingComputer сообщила, что злоумышленники используют обновленный DTrack для нападения на компании в Германии, Бразилии, Индии, Италии, Мексике, Швейцарии, Саудовской Аравии, Турции и США.

Под угрозой оказались государственные исследовательские центры, политические институты, производители химической продукции, поставщики ИТ-услуг, поставщики телекоммуникационных услуг, поставщики коммунальных услуг и образовательные компании.

Модульный бэкдор

DTrack описывается как модульный бэкдор. Он может регистрировать нажатия клавиш, делать снимки экрана, эксфильтровать историю браузера, просматривать запущенные процессы и получать информацию о сетевом подключении.

Он также может запускать различные команды на целевой конечной точке, загружать дополнительные вредоносное ПО и извлекать данные.

ПОДРОБНЕЕ

> Хакеры Lazarus используют Log4j для взлома энергетических компаний США

> Lazarus хакеры атакуют драйверы Dell с помощью нового руткита

> Познакомьтесь с лучшими брандмауэрами

После обновления DTrack теперь использует хеширование API для загрузки библиотек и функций вместо запутанных строк и теперь использует всего три сервера управления и контроля (C2) по сравнению с предыдущими шестью.

Некоторые из C2-серверов, которые, по данным Kaspersky, использовались бэкдором, — это «pinkgoat[.]com», «purewatertokyo[.]com», «purplebear[.]com» и «salmonrabbit[.]com».

Также было обнаружено, что DTrack распространяет вредоносное ПО с именами файлов, которые обычно ассоциируются с законными исполняемыми файлами.

Говорили, что в одном случае бэкдор скрывался за исполняемым файлом NvContainer.exe. обычно распространяется NVIDIA. Группа будет использовать украденные учетные данные для входа в целевые сети или использовать серверы, открытые в Интернете, для установки вредоносного ПО.

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE