Hackers της Βόρειας Κορέας (Lazarus) χρησιμοποιούν μια νέα έκδοση του DTrack backdoor για να στοχεύουν οργανισμούς στην Ευρώπη και τη Λατινική Αμερική.
Το DTrack είναι ένα modular backdoor που μπορεί να χρησιμοποιηθεί για την παρακολούθηση πληκτρολογήσεων (keylogging), τη λήψη screenshots, την ανάκτηση του ιστορικού του προγράμματος περιήγησης, την παρακολούθηση εκτελούμενων διεργασιών και τη συλλογή διεύθυνσης IP και πληροφοριών σύνδεσης δικτύου.
Δείτε επίσης: Η ομάδα Billbug στοχεύει κυβερνητικές υπηρεσίες σε χώρες της Ασίας
Πέρα από τα παραπάνω (που σχετίζονται πιο πολύ με την κατασκοπεία), το DTrack έχει επίσης τη δυνατότητα να εκτελεί εντολές, να κλέβει αρχεία και δεδομένα, να εκτελεί πρόσθετα payloads και να εκτελεί διεργασίες σε συσκευές που έχουν παραβιαστεί.
 χρησιμοποιούν μια νέα έκδοση του DTrack backdoor για να στοχεύουν οργανισμούς στην Ευρώπη και τη){kind=link}
Παρόλο που αυτή η νέα έκδοση του κακόβουλου λογισμικού δεν προσφέρει πολλές λειτουργικές αλλαγές ή αλλαγές στον κώδικα, σε σχέση με τα υπάρχοντα δείγματα, χρησιμοποιείται περισσότερο σε επιθέσεις.
Διανομή
Σύμφωνα με μια έκθεση που δημοσίευσε η Kaspersky, εντοπίστηκε δραστηριότητα του DTrack στη Γερμανία, τη Βραζιλία, την Ινδία, την Ιταλία, το Μεξικό, την Ελβετία, τη Σαουδική Αραβία, την Τουρκία και τις Ηνωμένες Πολιτείες.
Οι στοχευόμενοι τομείς περιλαμβάνουν κυβερνητικά ερευνητικά κέντρα, ινστιτούτα πολιτικής, κατασκευαστές χημικών, παρόχους υπηρεσιών πληροφορικής, παρόχους τηλεπικοινωνιών, παρόχους υπηρεσιών κοινής ωφέλειας και εκπαίδευση.
Τις τελευταίες εβδομάδες, η Kaspersky έχει παρατηρήσει ότι το DTrack διανέμεται χρησιμοποιώντας filenames που συνήθως σχετίζονται με νόμιμα εκτελέσιμα προγράμματα.
Για παράδειγμα, ένα από τα δείγματα κακόβουλου λογισμικού είναι μεταμφιεσμένο με το όνομα “NvContainer.exe“, το οποίο ηNVidia χρησιμοποιεί για ένα από τα δικά της αρχεία.
Δείτε επίσης: Σφάλμα σε συσκευές Apple προκαλεί κατάρρευση του Safari όταν πληκτρολογούνται ορισμένα γράμματα
“Το DTrack κρύβεται μέσα σε ένα εκτελέσιμο αρχείο που μοιάζει με νόμιμο πρόγραμμα και υπάρχουν πολλά στάδια αποκρυπτογράφησης πριν ξεκινήσει το malware payload“, αναφέρει η έκθεση.
Η Kaspersky δήλωσε ότι η εγκατάσταση του DTrack backdoor γίνεται σε δίκτυα που έχουν παραβιαστεί με τη χρήση κλεμμένων credentials ή αξιοποιώντας servers που είναι εκτεθειμένοι στο Διαδίκτυο, όπως παρατηρήθηκε σε προηγούμενες εκστρατείες.
Οι μόνες αξιοσημείωτες αλλαγές σε σχέση με τις προηγούμενες παραλλαγές του DTrack είναι ότι τώρα χρησιμοποιεί API hashing για τη φόρτωση βιβλιοθηκών και λειτουργιών και ότι ο αριθμός των διακομιστών C2 έχει μειωθεί από έξι σε τρεις.
Κάποιοι από τους C2 servers που ανακάλυψε η Kaspersky είναι: “pinkgoat[.]com”, “purewatertokyo[.]com”, “purplebear[.]com”, and “salmonrabbit[.]com.”
DTrack backdoor: Ποιοι hackers το χρησιμοποιούν;
Η Kaspersky θεωρεί ότι το DTrack συνδέεται με τη βορειοκορεατική hacking ομάδα Lazarus, η οποία φαίνεται να το χρησιμοποιεί όποτε επιθυμεί να αποκομίσει οικονομικά οφέλη. Η Lazarus ευθύνεται για πολλές καταστροφικές επιθέσεις στον κυβερνοχώρο την τελευταία δεκαετία. Η ομάδα πιστεύεται ότι χρηματοδοτείται από το κράτος και ότι έχει δεσμούς με τον βορειοκορεατικό στρατό. Τα τελευταία χρόνια, η Lazarus έχει μετατοπίσει την εστίασή της από το παραδοσιακό hacking στην κλοπή κρυπτονομισμάτων και πιστεύεται ότι βρίσκεται πίσω από μια σειρά επιθέσεων σε crypto exchanges.
Δείτε επίσης: 42.000 ιστότοποι εξαπατούσαν τους χρήστες ώστε να νομίζουν ότι είναι νόμιμα
Τον Αύγουστο του 2022, οι ίδιοι ερευνητές είχαν συνδέσει το backdoor με τους hackers “Andariel” που σχετίζονται επίσης με τη Βόρεια Κορέα. Πρόκειται για την ίδια ομάδα που ανέπτυξε το ransomware Maui σε εταιρικά δίκτυα της Αμερικής και της Νότιας Κορέας.
Η Dragos συνέδεσε το DTrack με μια βορειοκορεατική ομάδα απειλών, την “Wassonite“, τον Φεβρουάριο του 2020. Η Wassonite είχε επιτεθεί στο παρελθόν σε εγκαταστάσεις πυρηνικής ενέργειας και πετρελαίου και φυσικού αερίου.
Πηγή: www.bleepingcomputer.com