- Les chercheurs d’ESET ont découvert l’une des charges utile (payload) du téléchargeur Wslink : une porte dérobée nommée WinorDLL64.
- La région ciblée ainsi que des similitudes au niveau du comportement et du code suggèrent que cet outil peut faire partie de l’arsenal du groupe de pirates Lazarus.
- La porte dérobée est capable d’exfiltrer, d’écraser et de supprimer des fichiers, d’exécuter des commandes et d’obtenir des informations détaillées sur le système touché.
- Le malware a été transmis à VirusTotal depuis la Corée du Sud, où se situent des victimes.
Les chercheurs d’ESET ont découvert l’une des charges utile (payload) du téléchargeur Wslink : une porte dérobée nommée WinorDLL64. La région ciblée ainsi que des similitudes au niveau du comportement et du code suggèrent que cet outil peut faire partie de l’arsenal du groupe de pirates Lazarus. La porte dérobée est capable d’exfiltrer, d’écraser et de supprimer des fichiers, d’exécuter des commandes et d’obtenir des informations détaillées sur le système touché.
« Wslink, dont le fichier porte le nom WinorLoaderDLL64.dl, est un chargeur d’exécutables Windows qui, contrairement aux autres chargeurs de ce type, fonctionne sous forme de serveur et exécute en mémoire les modules qu’il réceptionne. Un chargeur d’’exécutables sert charger en mémoire un logiciel malveillant ou la charge utile (payload) sur un système compromis, » explique Vladislav Hrčka, le chercheur d’ESET qui a fait cette découverte. « Le malware Wslink peut être utiliser ultérieurement à des fins de mouvement latéral, en raison de son intérêt spécifique pour les sessions réseau. Le chargeur Wslink est en écoute sur un port spécifié dans sa configuration et peut répondre à des clients. » ajoute-t-il.
Le code et le comportment de WinorDLL64 présente des similitudes avec plusieurs échantillons attribués au groupe Lazarus, ce qui indique qu’il pourrait s’agir d’un outil provenant de l’arsenal de ce groupe de pirates aligné avec la Corée du Nord.
Le malware Wslink, initialement inconnu, a été transmis à VirusTotal depuis la Corée du Sud peu après la publication d’un article d’ESET Research sur le chargeur Wslink. La télémétrie d’ESET n’a vu que quelques détections du chargeur Wslink en Europe centrale, en Amérique du Nord et au Moyen-Orient. Les chercheurs d’AhnLab ont confirmé des victimes sud-coréennes de Wslink dans leur télémétrie, ce qui est un indicateur pertinent, compte tenu des cibles traditionnelles de Lazarus et du fait qu’ESET Research n’a observé que quelques détections.
Actif depuis au moins 2009, ce groupe aligné sur la Corée du Nord est responsable d’incidents très médiatisés tels que le piratage de Sony Pictures Entertainment, le vol de cryptomonnaies en 2016 d’une valeur de plusieurs dizaines de millions de dollars, l’infection de WannaCryptor (alias WannaCry) en 2017, et une longue série d’attaques perturbatrices contre des infrastructures essentielles et publiques de la Corée du Sud depuis au moins 2011. L’US-CERT et le FBI nomment ce groupe HIDDEN COBRA.
Pour obtenir plus d’informations techniques sur WinorDLL64, consultez l’article « WinorDLL64 : A backdoor from the vast Lazarus arsenal? » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - +33 01 55 89 08 88 - darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.