7 marca 2023

Nowe zagrożenie przygotowane przez popularną grupę cyberprzestępców z Korei Północnej

Badacze ESET wykryli nowego konia trojańskiego (tzw. backdoor) atakującego wybranych użytkowników systemu Windows. Cele ataków, mechanizm i kod sugerują, że mógł on zostać stworzony przez znaną grupę APT Lazarus, powiązaną z Koreą Północną. Cyberprzestępcy z tej grupy od co najmniej 2011 roku regularnie atakują infrastrukturę Korei Południowej. Odpowiedzialni są też m.in. za ataki na Sony Pictures Entertainment.

Nowoodkryte zagrożenie to tzw. loader (program ładujący) WinorDLL64 wykorzystywany przez szkodliwe narzędzie Wslink. Ten element Wslink może wykradać, nadpisywać i usuwać pliki, wykonywać polecenia i uzyskiwać obszerne informacje o systemie. Zarówno pod względem działania, jak i kodu jest zbliżony do innych programów grupy APT Lazarus. Może on być zatem jednym z wielu narzędzi, przygotowanych przez cyberprzestępców powiązanych z Koreą Północną.

Wslink, którego nazwa pliku to WinorLoaderDLL64.dll, jest programem ładującym dla plików binarnych systemu Windows, który w przeciwieństwie do innych programów tego typu działa jako serwer i zachowuje otrzymane moduły w pamięci. Jak sama nazwa wskazuje, program ładujący służy jako narzędzie do wgrywania elementów lub złośliwego oprogramowania do już zainfekowanego systemu. Element załadowany za pośrednictwem Wslink może następnie umożliwić przeprowadzanie ataków wykorzystujących ruch boczny (ang. lateral movement), ze względu na jego szczególne nastawienie na sesje sieciowe. Moduł ładujący Wslink nasłuchuje na porcie określonym w konfiguracji i może obsługiwać dodatkowych klientów łączących się z nim, a nawet wprowadzać do systemu kolejne złośliwe elementy

Vladislav Hrčka,
badacz firmy ESET, który dokonał odkrycia

Nowy koń trojański został przesłany do serwisu identyfikującego zagrożenia VirusTotal z Korei Południowej wkrótce po opublikowaniu przez badaczy ESET informacji na temat Wslink. ESET wykrył tylko kilka przypadków jego aktywności w Europie Środkowej, Ameryce Północnej i na Bliskim Wschodzie. Naukowcy AhnLab potwierdzili natomiast, że zagrożenie atakowało użytkowników z Korei Południowej. To ważna informacja, biorąc pod uwagę tradycyjne cele Lazarusa.

Powiązana z Koreą Północną grupa Lazarus działa co najmniej od 2009 roku i jest odpowiedzialna za głośne przestępstwa, takie jak włamanie do Sony Pictures Entertainment, cybernapady wyrządzające szkody o wartości dziesiątek milionów dolarów w 2016 roku, atak WannaCryptor (znany również jako WannaCry) w 2017 r. i długą listę ataków na infrastrukturę publiczną i krytyczną Korei Południowej od co najmniej 2011 r. US-CERT i FBI nazywają tę grupę HIDDEN COBRA.

Grzegorz Klocek
senior product manager ESET

Masz pytania?
Skontaktuj się ze mną:
klocek.g@dagma.pl
32 259 11 34