Lazarus, которая использует технику боковой загрузки DLL для атак на южнокорейские компании и учреждения. Это метод, при котором вредоносная DLL выполняется первой, заменяя имя файла легитимной DLL. Недавно была обнаружена новая легитимная программа под названием "wmiapsrv.exe", которая загружает модифицированную вредоносную DLL "wbemcomn.dll".
Эти модифицированные DLL-файлы работают как бэкдоры и используются для выполнения вредоносного ПО. Кроме того, была обнаружена еще одна модифицированная вредоносная DLL под названием "netutils.dll". Этот метод атаки позволяет сохранить легитимное приложение и вредоносную DLL в одной папке, обеспечивая выполнение вредоносной DLL при запуске приложения. Это делает обнаружение и предотвращение таких атак сложными задачами для защиты от угроз.
Indicators of Compromise
MD5
- 21def97a3c5b95df1e1aeb6486881656
- edca71eda8650a2c591c37c780b6a0c5