Компания ESET ― лидер в области информационной безопасности ― обнаружила новую активность APT-группы Lazarus, которая на этот раз использовала бекдор WinorDLL64, один из компонентов загрузчика Wslink. Угроза может перехватывать, переписывать и удалять файлы, выполнять команды и получать расширенную информацию о системе.
Согласно телеметрии ESET, загрузчик Wslink был зафиксирован в Центральной Европе, а также в Северной Америке и на Ближнем Востоке. Цели, поведение и код WinorDLL64 имеют сходство с несколькими образцами Lazarus, что указывает на принадлежность к инструментарию этой известной APT-группы.
«Угроза Wslink ― это загрузчик для бинарных файлов Windows, который имеет название файла WinorLoaderDll64.dll и работает как сервер, выполняя модули в памяти. Этот вредоносный инструмент также используется для загрузки компонента или вредоносного программного обеспечения в уже зараженную систему, ― объясняет Владислав Хрчка, исследователь ESET. ― Позже компонент Wslink может быть использован для дальнейшего распространения из-за его интереса к сетевым сеансам. Загрузчик Wslink получает доступ к порту, указанному в конфигурации, и может обслуживать дополнительных подключенных клиентов и даже загружать различные компоненты».
Стоит отметить, что APT-группа Lazarus активна как минимум с 2009 года и ответственна за масштабные кибератаки, в частности взлом Sony Pictures Entertainment, кражу десятков миллионов долларов в 2016 году, распространение WannaCryptor в 2017 году и много разрушительных атак на южнокорейских пользователей и критическую инфраструктуру.
В связи с опасностью атак специалисты ESET рекомендуют придерживаться основных правил кибербезопасности, в частности использовать сложные пароли и двухфакторную аутентификацию, вовремя обновлять программное обеспечение и обеспечить надежную защиту своих устройств.
В то же время компаниям стоит позаботиться о осведомленности своих сотрудников, в частности об опасности открытия неизвестных писем и документов в корпоративной сети. Также организациям следует обеспечить всестороннюю защиту рабочих станций, расширенный анализ в облаке, обнаружение и реагирование, а также предотвращение потери конфиденциальных данных.