新发现显示,已经发现了与名为Wslink的恶意软件下载器相关的新后门,该工具可能被臭名昭著的朝鲜联盟Lazarus集团使用。

该有效负载被ESET称为WinorDLL64,是一种功能齐全的植入物,可以泄露,覆盖和删除文件;执行PowerShell命令;并获取有关底层机器的全面信息。

它的其他功能包括列出活动会话、创建和终止进程、枚举驱动器和压缩目录。

Wslink 于 2021 年 10 月由斯洛伐克网络安全公司首次记录,将其描述为一个“简单而非凡”的恶意软件加载程序,能够在内存中执行收到的模块。

“Wslink有效载荷可以在以后用于横向移动,因为它对网络会话特别感兴趣,”ESET研究员Vladislav Hrčka说。“Wslink 加载程序侦听配置中指定的端口,可以为其他连接客户端提供服务,甚至可以加载各种有效负载。”

据说利用该恶意软件的入侵具有高度针对性,因为迄今为止在中欧、北美和中东仅观察到少数检测。

2022 年 3 月,ESET 详细阐述了该恶意软件使用“高级多层虚拟机”混淆器来逃避检测并抵制逆向工程。

Lazarus Group与Lazarus集团的联系源于行为和代码与以前的活动(GhostSecret行动和Bankshot)的重叠,这些活动归因于高级持续威胁。

这包括与McAfee在2018年详细介绍的GhostSecret示例的相似之处,这些示例带有作为服务运行的“数据收集和植入安装组件”,反映了Wslink的相同行为。

ESET表示,有效载荷是从韩国上传到VirusTotal恶意软件数据库的,一些受害者就在那里,这增加了Lazarus参与的可信度。

调查结果再次证明了Lazarus集团用来渗透其目标的大量 黑客工具。

“Wslink的有效载荷致力于提供文件操作,执行进一步代码的方法,并获取有关底层系统的广泛信息,这些信息以后可能用于横向移动,”ESET说。