ESET, leader globale nel mercato della cybersecurity, ha scoperto la backdoor WinorDLL64, uno dei payload del downloader Wslink. Diversi elementi portano a pensare che lo strumento sia utilizzato dal gruppo APT Lazarus affiliato alla Corea del Nord. Il payload di Wslink è in grado di esfiltrare, sovrascrivere e rimuovere file, eseguire comandi e ottenere ampie informazioni sul sistema di base.
"Wslink, il cui nome file è WinorLoaderDLL64.dll, è un loader per i binari di Windows che, a differenza di altri loader di questo tipo, opera come server ed esegue i moduli ricevuti in memoria. Come suggerisce la dicitura, un loader serve come strumento per caricare un payload, o il malware vero e proprio, sul sistema già compromesso", spiega Vladislav Hrčka, il ricercatore ESET che ha effettuato la scoperta. "Il payload di Wslink può essere sfruttato in un secondo momento per un movimento laterale, grazie al suo interesse specifico per le sessioni di rete. Il loader Wslink è in attesa su una porta specificata nella configurazione e può servire altri client connessi e persino caricare vari payload", aggiunge.
WinorDLL64 contiene sovrapposizioni sia nel comportamento che nel codice con diversi campioni di Lazarus, il che indica che potrebbe essere uno strumento del vasto arsenale di questo gruppo APT.
Il payload Wslink, inizialmente sconosciuto, è stato caricato su VirusTotal dalla Corea del Sud poco dopo la pubblicazione di un post del blog di ESET Research sul loader Wslink. La telemetria di ESET ha rilevato solo pochi casi di loader Wslink in Europa centrale, Nord America e Medio Oriente. I ricercatori di AhnLab hanno confermato le vittime sudcoreane di Wslink nella loro telemetria, il che è un indicatore rilevante, considerando gli obiettivi tradizionali di Lazarus e il fatto che ESET Research ha osservato solo pochi rilevamenti.
Attivo almeno dal 2009, questo famigerato gruppo è responsabile di incidenti di alto profilo come l'hack di Sony Pictures Entertainment, le frodi informatiche da decine di milioni di dollari del 2016, l'epidemia di WannaCryptor (alias WannaCry) del 2017 e una lunga serie di attacchi dirompenti contro le infrastrutture pubbliche e critiche sudcoreane almeno dal 2011. L'US-CERT e l'FBI chiamano questo gruppo HIDDEN COBRA.
Per ulteriori informazioni tecniche su WinorDLL64, consultare il post WinorDLL64: una backdoor dal vasto arsenale di Lazarus? su WeLiveSecurity.
Tutti i marchi citati sono marchi commerciali o marchi registrati di proprietà delle rispettive aziende
Informazioni su ESET
Da oltre 30 anni, ESET® sviluppa software e servizi di sicurezza informatica leader del settore per proteggere le aziende, le infrastrutture critiche e i consumatori di tutto il mondo da minacce digitali sempre più sofisticate. Dalla sicurezza degli endpoint e dei dispositivi mobili al rilevamento e alla risposta degli endpoint, passando per la crittografia e l'autenticazione multifattoriale, le soluzioni ESET ad alte prestazioni e di facile utilizzo proteggono e monitorano in modo discreto 24 ore su 24, 7 giorni su 7, aggiornando le difese in tempo reale per mantenere gli utenti al sicuro e le aziende funzionanti senza interruzioni. L'evoluzione delle minacce richiede un'azienda di sicurezza informatica in continua evoluzione che consenta un uso sicuro della tecnologia. Questo è supportato dai centri di ricerca e sviluppo di ESET in tutto il mondo, che lavorano a sostegno del nostro futuro comune. Per ulteriori informazioni, visitate il sito www.eset.com o seguiteci su LinkedIn, Facebook e Twitter.