Исследователи ESET обнаружили одну из полезных нагрузок загрузчика Wslink. ESET назвали эту полезную нагрузку WinorDLL64 на основании ее имени файла WinorDLL64.dll. Wslink, имевший имя WinorLoaderDLL64.dll, представляет собой загрузчик двоичных файлов Windows, который, в отличие от других подобных загрузчиков, работает как сервер и выполняет полученные модули в памяти. Как следует из формулировки, загрузчик служит инструментом для загрузки полезной нагрузки, или собственно вредоносного ПО, в уже скомпрометированную систему. Первоначальный вектор компрометации Wslink не определен.
WinorDLL64 (Wslink) Downloader
Изначально неизвестная полезная нагрузка Wslink была загружена на VirusTotal из Южной Кореи вскоре после публикации блога ESET и попала в одно из правил YARA, основанных на уникальном имени Wslink WinorDLL64. Что касается Wslink, телеметрия ESET зафиксировала всего несколько обнаружений - в Центральной Европе, Северной Америке и на Ближнем Востоке.
Полезная нагрузка WinorDLL64 служит в качестве бэкдора, который, прежде всего, получает обширную системную информацию, предоставляет средства для манипулирования файлами, такие как удаление, перезапись и удаление файлов, а также выполняет дополнительные команды. Интересно, что он осуществляет связь через соединение, которое уже было установлено загрузчиком Wslink.
В 2021 году ESET не нашли никаких данных, позволяющих предположить, что Wslink является инструментом известного субъекта угрозы. Однако после тщательного анализа полезной нагрузки ESET с низкой степенью уверенности отнесли WinorDLL64 к APT-группе Lazarus на основании целевого региона и совпадения поведения и кода с известными образцами Lazarus.
Эта печально известная группа, связанная с Северной Кореей, действует по меньшей мере с 2009 года и ответственна за такие громкие инциденты, как взлом Sony Pictures Entertainment и киберхулиганские атаки на десятки миллионов долларов в 2016 году, вспышка WannaCryptor (она же WannaCry) в 2017 году и долгая история разрушительных атак на государственную и критическую инфраструктуру Южной Кореи, по меньшей мере с 2011 года. US-CERT и ФБР называют эту группу HIDDEN COBRA.
Основываясь на знаниях о деятельности и операциях этой группы, ESET считает, что Lazarus состоит из большой команды, которая систематически организована, хорошо подготовлена и состоит из нескольких подгрупп, использующих большой набор инструментов. В прошлом году ESET обнаружили инструмент Lazarus, который использовал уязвимость CVE-2021-21551 для атак на сотрудника аэрокосмической компании в Нидерландах и политического журналиста в Бельгии. Это было первое зарегистрированное использование уязвимости; в сочетании инструмент и уязвимость привели к отключению мониторинга всех решений безопасности на скомпрометированных машинах.
Indicators of Compromise
SHA1
- 1ba443fde984cee85ebd4d4fa7eb1263a6f1257f