Компанія ESET ― лідер у галузі інформаційної безпеки ― виявила нову активність APT-групи Lazarus, яка цього разу використовувала бекдор WinorDLL64, один із компонентів завантажувача Wslink. Загроза може перехоплювати, переписувати та видаляти файли, виконувати команди та отримувати розширену інформацію про систему.
За даними телеметрії ESET, завантажувач Wslink було зафіксовано в Центральній Європі, а також Північній Америці та на Близькому Сході. Цілі, поведінка та код WinorDLL64 має подібності з кількома зразками Lazarus, що свідчить про належність до інструментарію цієї відомої APT-групи.
«Загроза Wslink ― це завантажувач для бінарних файлів Windows, який має назву файлу WinorLoaderDll64.dll та працює як сервер, виконуючи отримані модулі у пам'яті. Також цей шкідливий інструмент використовується для завантаження компонента або шкідливого програмного забезпечення у вже інфіковану систему, ― пояснює Владіслав Хрчка, дослідник ESET. ― Пізніше компонент Wslink може бути використаний для подальшого поширення через його інтерес до мережевих сесій. Завантажувач Wslink отримує доступ до порту, вказаний у конфігурації, та може обслуговувати додаткових підключених клієнтів та навіть завантажувати різні компоненти».
Варто зазначити, що APT-група Lazarus активна принаймні з 2009 року та відповідальна за масштабні кібератаки, зокрема злам Sony Pictures Entertainment, викрадення десятків мільйонів доларів у 2016 році, поширення WannaCryptor у 2017 році та багато руйнівних атак на південнокорейських користувачів та критичну інфраструктуру.
У зв’язку з небезпекою атак спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема використовувати складні паролі та двофакторну автентифікацію, вчасно оновлювати програмне забезпечення та забезпечити надійний захист своїх пристроїв.
При цьому компаніям варто подбати про обізнаність своїх працівників, зокрема попередити про небезпеку відкриття невідомих листів та документів у корпоративній мережі. Також організаціям слід забезпечити всебічний захист робочих станцій, розширений аналіз у хмарі, виявлення та реагування, а також запобігання втраті конфіденційних даних.