Nordkoreanska hackare återkommer med en uppdaterad version av denna farliga skadliga programvara

Nordkoreanska hackare återkommer med en uppdaterad version av denna farliga skadliga programvara

Det ökända nordkoreanska hackerkollektivet, Lazarus Group, använder en uppdaterad version av sin DTrack-bakdörr för att rikta sig mot företag i Europa och Latinamerika. Gruppen är kontant, säger Kaspersky-forskare, eftersom kampanjen är enbart för vinst.

BleepingComputer (öppnas i en ny flik) rapporterade att hotaktörer använder den uppdaterade DTrack för att attackera företag i Tyskland, Brasilien, Indien, Italien, Mexiko, Schweiz, Saudiarabien, Turkiet och USA.

Företag under beskjutning inkluderar statliga forskningscentra, policyinstitut, kemikalietillverkare, IT-tjänsteleverantörer, telekommunikationsleverantörer, allmännyttiga leverantörer och utbildningsföretag.

modulär baklucka

DTrack beskrivs som en modulär bakdörr. Du kan logga tangenttryckningar, ta skärmdumpar, filtrera webbläsarhistorik, se pågående processer och få nätverksinloggningsinformation.

Den kan också köra olika kommandon på målenheten, ladda ner ytterligare skadlig programvara och exfiltrera data.

Efter uppdateringen använder DTrack nu hashade API:er för att ladda bibliotek och funktioner, istället för obfuskerade strängar, och använder bara tre kommando- och kontrollservrar (C2), upp från sex tidigare.

Några av de C2-servrar som upptäckts av Kaspersky för att användas av bakdörren är "pinkgoatcom", "aguapuratokiocom", "oso moradocom" och "salmonrabbitcom."

Den upptäckte också att DTrack distribuerar skadlig programvara märkt med filnamn som vanligtvis förknippas med legitima körbara filer.

I ett fall, sades det, var bakdörren gömd bakom "NvContainer.exe", en körbar fil som vanligtvis distribueras av NVIDIA. Gruppen skulle använda stulna referenser för att ansluta till målnätverk eller utnyttja Internet-exponerade servrar för att installera skadlig programvara.