CiberSegurança: ESET descobre método de ataque secreto...

A ESET descobriu um método de ataque secreto potencialmente ligado a grupo cibercriminoso norte-coreano. O grupo Lazarus foi responsável por incidentes de alto perfil como o ciberataque à Sony Pictures Entertainment em 2014.

Investigadores da ESET descobriram a backdoor WinorDLL64

Os investigadores da ESET descobriram a backdoor WinorDLL64, um dos componentes descarregados pelo downloader Wslink. A região visada e semelhanças de comportamento e código sugerem que a ferramenta é usada pelo conhecido grupo cibercriminoso norte-coreano Lazarus. A carga do Wslink consegue extrair, substituir e remover ficheiros, executar comandos e obter informações sobre o sistema subjacente.

Vladislav Hrčka, o investigador da ESET que fez a descoberta referiu que...

O Wslink, cujo nome de ficheiro é WinorLoaderDLL64.dll, é um downloader para Windows que, ao contrário da maioria dos outros loaders deste tipo, corre como servidor e executa módulos recebidos em memória. Tal como o nome sugere, um loader serve como ferramenta para instalar uma carga maliciosa, ou o malware em si, num sistema previamente comprometido.

A carga do Wslink pode ser usada mais tarde para movimento lateral, devido ao seu interesse específico em sessões de rede. O Wslink escuta uma porta especificada na sua configuração e pode atuar como servidor para clientes adicionais, e até instalar várias cargas

O WinorDLL64 contém semelhanças tanto em comportamento como em código com várias amostras do grupo Lazarus, o que indica que pode ser uma das ferramentas do vasto arsenal deste grupo norte-coreano.

A carga inicialmente desconhecida do Wslink foi carregada para a base de dados VirusTotal a partir da Coreia do Sul pouco tempo depois da publicação de um artigo da ESET sobre o Wslink. A telemetria da ESET só detetou algumas instâncias do Wslink na Europa Central, América do Norte e Médio Oriente.

Ativo desde pelo menos 2009, o grupo Lazarus é responsável por incidentes de alto perfil como o ciberataque à Sony Pictures Entertainment em 2014, os ciberataques de dezenas de milhões de dólares em 2016, o ransomware WannaCryptor (também conhecido por WannaCry) em 2017 e um longo histórico de ciberataques disruptivos contra a infraestrutura pública da Coreia do Sul desde pelo menos 2011. A US-CERT e o FBI chamam a este grupo HIDDEN COBRA.

O que você está lendo é [CiberSegurança: ESET descobre método de ataque secreto...].Se você quiser saber mais detalhes, leia outros artigos deste site.