communism, communist, hacking
Photo by OpenClipart-Vectors on Pixabay

Nordkoreanske hackere angriber Europa med opdateret malware

Nordkoreanske hackere bruger nu en helt ny version af DTrack-bagdøren til at angribe organisationer i Europa og Latinamerika.

DTrack er en modulær bagdør med en keylogger, en screenshot snapper, en browser historie retriever, en kørende processer snooper, en IP-adresse og netværksforbindelse information spionsoftware, og meget mere.

Noget tyder på at den kan skifte funktioner styret fra afsenderen.

Bortset fra spionage kan den nemlig også køre kommandoer til at udføre filoperationer, hente yderligere nyttelast, stjæle filer og data og udføre processer på den kompromitterede enhed. F.eks. også Kryptering som er kendt fra Ransomware bander.

Den nye malware-version indeholder ikke mange funktionelle eller kodeændringer sammenlignet med prøver, der er analyseret tidligere, men den implementeres nu langt mere bredt.

En bredere fordeling

Som Kaspersky forklarer i en rapport, der blev offentliggjort i morges, viser deres telemetri DTrack-aktivitet i Tyskland, Brasilien, Indien, Italien, Mexico, Schweiz, Saudi-Arabien, Tyrkiet og USA.

De målrettede sektorer omfatter offentlige forskningscentre, politiske institutter, kemiske producenter, it-tjenesteudbydere, telekommunikationsudbydere, forsyningstjenesteudbydere og uddannelse.

I den nye kampagne har Kaspersky set DTrack distribueret ved hjælp af filnavne, der ofte er forbundet med legitime eksekverbare filer.

For eksempel distribueres en prøve,  de delte, under filnavnet ‘NvContainer.exe’, som er det samme navn som en legitim NVIDIA-fil.

Kaspersky fortalte BleepingComputer, at DTrack fortsat installeres ved at bryde netværk ved hjælp af stjålne legitimationsoplysninger eller udnytte interneteksponerede servere, som det er set i tidligere kampagner.

Når den startes, malware gennemgår flere dekrypteringstrin, før dens endelige nyttelast indlæses via proceshulning i en “explorer.exe” -proces, der kører direkte fra hukommelsen.

billede-1-45

Chunk dekrypterings rutine (Kilde: Kaspersky)

De eneste forskelle i forhold til tidligere DTrack-varianter er, at den nu bruger API-hashing til at indlæse biblioteker og funktioner i stedet for tilslørede strenge, og at antallet af C2-servere er blevet halveret til kun tre.

Nogle af de C2-servere, der er afsløret af Kaspersky, er “pinkgoat[.] com”, “Purewatertokyo[.] com”, “Purplebear[.] com”, og “laksekanin[.] com.”

DTrack-tilskrivning

Kaspersky tilskriver denne aktivitet til den nordkoreanske Lazarus-hackinggruppe og hævder, at trusselsaktørerne bruger DTrack, når de ser potentialet for økonomiske gevinster.

I august 2022 forbandt de samme forskere bagdøren til den nordkoreanske hackinggruppe, der blev sporet som ‘Andariel’, som implementerede Maui ransomware i virksomhedsnetværk i USA og Sydkorea.

I februar 2020 forbandt Dragos DTrack med en nordkoreansk trusselsgruppe, ‘Wassonite’, der angreb atomkraft og olie- og gasanlæg.

Kilde: Kaspersky, Bleebing Computer, ICARE
Fotokredit: PIXABAY

Scroll to Top