朝鲜黑客正在使用新版本的 DTrack 后门来攻击欧洲和拉丁美洲的组织。DTrack 是一个模块化后门,具有键盘记录器、屏幕截图捕捉器、浏览器历史记录检索器、运行进程窥探器、IP 地址和 络连接信息捕捉器等。
除了间谍之外,它还可以运行命令来执行文件操作、获取额外的有效负载、窃取文件和数据,以及在受感染的设备上执行进程。与过去分析的样本相比,新的恶意软件版本没有太多功能或代码更改,但现在部署范围更广。
分布更广
正如卡巴斯基在今天发布的一份 告中所解释的那样,他们的遥测显示了德国、巴西、印度、意大利、墨西哥、瑞士、沙特阿拉伯、土耳其和美国的 DTrack 活动。
目标行业包括政府研究中心、政策机构、化学品制造商、IT 服务提供商、电信提供商、公用事业服务提供商和教育。在新的攻击活动中,卡巴斯基发现 DTrack 使用通常与合法可执行文件关联的文件名进行分发。
例如, 他们共享的一个样本 以“NvContainer.exe”文件名分发,该文件名与合法的 NVIDIA 文件同名。
卡巴斯基指出,DTrack 继续通过使用窃取的凭据破坏 络或利用暴露在 Internet 上的服务器来安装,如 之前的活动所示。启动后,恶意软件会经过多个解密步骤,然后通过挖空进程将其最终有效负载加载到直接从内存运行的“explorer.exe”进程中。
与过去的 DTrack 变体的唯一区别是它现在使用 API 散列来加载库和函数而不是混淆字符串,并且 C2 服务器的数量已减少一半,仅为三个。
卡巴斯基发现的一些 C2 服务器是:
“pinkgoat[.]com”、
“purewatertokyo[.]com”
“purplebear[.]com”
“salmonrabbit[.]com”
DTrack归因
卡巴斯基将此活动归因于朝鲜 Lazarus 黑客组织,并声称威胁行为者只要看到潜在的经济利益就会使用 DTrack。
2022 年 8 月,同一研究人员将该后门与被追踪为“ Andariel ”的朝鲜黑客组织联系起来,该组织在美国和韩国的企业 络中部署了 Maui 勒索软件。
2020 年 2 月,Dragos 将 DTrack 与攻击核能和油气设施的朝鲜威胁组织“ Wassonite ”联系起来。
详细内容请扫描下方二维码,进入 群即可获得!
俄罗斯企业频发数据泄露事件,720万用户数据在黑客论坛出售
2022.11.16
美国CISA称:选举中期投票不受 络攻击影响
2022.11.15
最新披露!三星手机组件发现三个高危漏洞
2022 .11.11
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!