Esta actualizacion de Windows Server causa muchos problemas

Det ökända nordkoreanska hackerkollektivet, Lazarus Group, använder en uppdaterad version av sin DTrack-bakdörr för att rikta sig mot företag i Europa och Latinamerika. Gruppen är kontant, säger Kaspersky-forskare, eftersom kampanjen är enbart för vinst.

BleepingComputer (öppnas i en ny flik) rapporterade att hotaktörer använder den uppdaterade DTrack för att attackera företag i Tyskland, Brasilien, Indien, Italien, Mexiko, Schweiz, Saudiarabien, Turkiet och USA.

Företag under beskjutning inkluderar statliga forskningscentra, policyinstitut, kemikalietillverkare, IT-tjänsteleverantörer, telekommunikationsleverantörer, allmännyttiga leverantörer och utbildningsföretag.

modulär baklucka

DTrack beskrivs som en modulär bakdörr. Du kan logga tangenttryckningar, ta skärmdumpar, filtrera webbläsarhistorik, se pågående processer och få nätverksinloggningsinformation.

Den kan också köra olika kommandon på målenheten, ladda ner ytterligare skadlig programvara och exfiltrera data.

Efter uppdateringen använder DTrack nu hashade API:er för att ladda bibliotek och funktioner, istället för obfuskerade strängar, och använder bara tre kommando- och kontrollservrar (C2), upp från sex tidigare.

Några av C2-servrarna som upptäckts av Kaspersky för att användas av bakdörren är "pinkgoat[.]com", "aguapuratokio[.]com", "oso purple[.]com" och "salmonrabbit[.]com."

Den upptäckte också att DTrack distribuerar skadlig programvara märkt med filnamn som vanligtvis förknippas med legitima körbara filer.

I ett fall, sades det, gömde sig bakdörren bakom "NvContainer.exe", en körbar fil som vanligtvis distribueras av NVIDIA. Gruppen skulle använda stulna referenser för att ansluta till målnätverk eller utnyttja servrar exponerade för Internet för att installera skadlig programvara.

Dela detta