ESET ha rivelato la presenza di una backdoor chiamata WinorDLL64, che costituisce uno dei payload del downloader Wslink. Secondo gli elementi raccolti, sembra che questo strumento sia utilizzato dal gruppo APT Lazarus, associato alla Corea del Nord.
ESET scopre la backdoor WinorDLL64, legata a Lazarus
Il payload di Wslink ha la capacità di esfiltrare, sovrascrivere e rimuovere file, eseguire comandi e raccogliere informazioni sul sistema in uso. Secondo Vladislav Hrčka, il ricercatore ESET che ha scoperto la backdoor, “Wslink, il cui nome file è WinorLoaderDLL64.dll, è un loader per i binari di Windows che, a differenza di altri loader di questo tipo, opera come server ed esegue i moduli ricevuti in memoria. Come suggerisce la dicitura, un loader serve come strumento per caricare un payload, o il malware vero e proprio, sul sistema già compromesso. Il payload di Wslink può essere sfruttato in un secondo momento per un movimento laterale, grazie al suo interesse specifico per le sessioni di rete. Il loader Wslink è in attesa su una porta specificata nella configurazione e può servire altri client connessi e persino caricare vari payload”, aggiunge“.
WinorDLL64 presenta sovrapposizioni sia nel comportamento che nel codice con diversi campioni di Lazarus. Questo suggerisce che potrebbe essere uno degli strumenti presenti nell’ampio arsenale di questo gruppo APT.
Il payload di Wslink, inizialmente sconosciuto, è stato caricato su VirusTotal dalla Corea del Sud poco dopo la pubblicazione di un post del blog di ESET Research riguardante Wslink. ESET ha rilevato solo pochi casi di loader Wslink in Europa centrale, Nord America e Medio Oriente. AhnLab, un’altra azienda di sicurezza informatica, ha confermato la presenza di vittime sudcoreane colpite da Wslink, il che rappresenta un importante indicatore, considerando gli obiettivi tradizionali di Lazarus e il fatto che ESET Research ha notato solo pochi rilevamenti.
Lazarus è un gruppo famigerato attivo almeno dal 2009, che ha compiuto attacchi di alto profilo. Come l’hack di Sony Pictures Entertainment, le frodi informatiche del 2016 per decine di milioni di dollari, l’epidemia di WannaCryptor (alias WannaCry) del 2017 e una lunga serie di attacchi distruttivi contro le infrastrutture pubbliche e critiche sudcoreane almeno dal 2011. L’US-CERT e l’FBI si riferiscono a questo gruppo come HIDDEN COBRA.
Trovate ulteriori informazioni su WeLiveSecurity.
- Stallings, William (Autore)
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
