Lazarus Group 使用新的 WinorDLL64 后门程序泄露敏感数据
新发现显示,已经发现了与名为 Wslink 的恶意软件下载器相关的新后门,该工具可能被臭名昭著的朝鲜联盟 Lazarus 集团使用。
该有效负载被 ESET 称为 WinorDLL64,是一种功能齐全的植入物,可以泄露,覆盖和删除文件 ; 执行 PowerShell 命令 ; 并获取有关底层机器的全面信息。
它的其他功能包括列出活动会话、创建和终止进程、枚举驱动器和压缩目录。
Wslink 于 2021 年 10 月由斯洛伐克网络安全公司首次记录,将其描述为一个“简单而非凡”的恶意软件加载程序,能够在内存中执行收到的模块。
“Wslink 有效载荷可以在以后用于横向移动,因为它对网络会话特别感兴趣,”ESET 研究员 Vladislav Hrčka 说。“Wslink 加载程序侦听配置中指定的端口,可以为其他连接客户端提供服务,甚至可以加载各种有效负载。”
据说利用该恶意软件的入侵具有高度针对性,因为迄今为止在中欧、北美和中东仅观察到少数检测。
2022 年 3 月,ESET 详细阐述了该恶意软件使用“高级多层虚拟机”混淆器来逃避检测并抵制逆向工程。
Lazarus Group 与 Lazarus 集团的联系源于行为和代码与以前的活动(GhostSecret 行动和 Bankshot)的重叠,这些活动归因于高级持续威胁。
这包括与 McAfee 在 2018 年详细介绍的 GhostSecret 示例的相似之处,这些示例带有作为服务运行的“数据收集和植入安装组件”,反映了 Wslink 的相同行为。
ESET 表示,有效载荷是从韩国上传到 VirusTotal 恶意软件数据库的,一些受害者就在那里,这增加了 Lazarus 参与的可信度。
调查结果再次证明了 Lazarus 集团用来渗透其目标的大量 黑客工具。
“Wslink 的有效载荷致力于提供文件操作,执行进一步代码的方法,并获取有关底层系统的广泛信息,这些信息以后可能用于横向移动,”ESET 说。