Европейские организации стали жертвами хакеров из КНДР

Северокорейские хакеры используют новую версию бэкдора DTrack для атак на организации в Европе и Латинской Америке. Как отмечают эксперты, DTrack распространяется в сети, маскируясь под легитимные файлы, что усложняет его обнаружение.

DTrack — это модульный бэкдор, включающий в себя кейлоггер, перехватчик скриншотов, просмотр истории браузера, перехватчик IP-адресов и информации о сетевых соединениях. Помимо шпионажа, он может выполнять команды для проведения файловых операций, получения дополнительной полезной нагрузки, кражи файлов и данных, а также запуска процессов на зараженном устройстве.

Новая версия вредоносной программы не отличается большим количеством функциональных или кодовых изменений по сравнению с образцами, проанализированными ранее, но теперь программа распространяется гораздо шире. 

Эксперты Лаборатории Касперского сообщили, что активность бэкдора DTrack зафиксирована в Германии, Бразилии, Индии, Италии, Мексике, Швейцарии, Саудовской Аравии, Турции и США. Целями являются правительственные исследовательские центры, политические институты, производители химической продукции, поставщики ИТ-услуг, телекоммуникационные компании, образовательные учреждения.

DTrack по-прежнему устанавливается путем взлома сетей с использованием украденных учетных данных или эксплуатации серверов, открытых для доступа в сети. При запуске вредоносная программа проходит через несколько этапов дешифровки, прежде чем конечная полезная нагрузка загрузится в процесс «explorer.exe», запускаемый непосредственно из памяти. 

Единственное отличие от предыдущих вариантов DTrack — теперь для загрузки библиотек и функций используется хеширование API вместо обфусцированных строк, а количество C2-серверов сократилось вдвое — до трех.

Использование бэкдора DTrack позволяет связать нынешние атаки с группировкой Lazarus — хакеры уже использовали его в своих атаках на корпоративные сети США и Южной Кореи, а также объекты ядерной энергетики и нефтегазовой отрасли.