Lazarus黑客组织使用更新的恶意软件瞄准欧洲

Lazarus黑客组织正在使用新版本的 DTrack 后门来攻击欧洲、拉丁美洲目标。

DTrack 是一个模块化后门，具有键盘记录器、屏幕截图捕捉器、浏览器历史记录检索器、运行进程窥探器、IP 地址和 络连接信息捕捉器等。

除了间谍之外，它还可以运行命令来执行文件操作、获取额外的有效负载、窃取文件和数据，以及在受感染的设备上执行进程。

与过去分析的样本相比，新的恶意软件版本没有太多功能或代码更改，但现在部署范围更广。

卡巴斯基在一份 告中说，他们的遥测数据显示德国、巴西、印度、意大利、墨西哥、瑞士、沙特阿拉伯、土耳其和美国的 DTrack 活动。

目标行业包括政府研究中心、政策机构、化学品制造商、IT 服务提供商、电信提供商、公用事业服务提供商和教育。

在新的攻击活动中，卡巴斯基发现 DTrack 使用通常与合法可执行文件关联的文件名进行分发。

例如， 他们共享的一个样本 以“NvContainer.exe”文件名分发，该文件名与合法的 NVIDIA 文件同名。

卡巴斯基称，DTrack 继续通过使用窃取的凭据破坏 络或利用暴露在 Internet 上的服务器来安装，如之前的活动所示。

启动后，恶意软件会经过多个解密步骤，然后通过挖空进程将其最终有效负载加载到直接从内存运行的“explorer.exe”进程中。

与过去的 DTrack 变体的唯一区别是它现在使用 API 散列来加载库和函数而不是混淆字符串，并且 C2 服务器的数量已减少一半，仅为三个。

卡巴斯基发现的一些 C2 服务器是“pinkgoat[.]com”、“purewatertokyo[.]com”、“purplebear[.]com”和“salmonrabbit[.]com”。

卡巴斯基将此活动归因于东北亚某国背景的Lazarus黑客组织，并声称攻击者只要看到潜在的经济利益就会使用 DTrack。

2022 年 8 月，研究人员将该后门与被追踪为“ Andariel ”的Lazarus黑客组织组织联系起来，该组织在美国和韩国的企业 络中部署了 Maui 勒索软件。

2020 年 2 月，Dragos 将 DTrack 与攻击核能和油气设施的东北亚某高级威胁组织“ Wassonite ”联系起来。