Кибергруппировка Lazarus вооружилась новым вредоносом

Кибергруппировка Lazarus вооружилась новым вредоносом

Новые вредоносные образцы Dtrack использовались в качестве шпионского ПО.

Специалисты из «Лаборатории Касперского» обнаружили новое вредоносное ПО DTrack, которое использовалось для атак на индийские финансовые организации и исследовательские центры. Вредоносную кампанию организовала киберпреступная группировка Lazarus (она же Hidden Cobra), известная своими атаками на банки, финансовые организации и криптовалютные биржи по всему миру.

В августе 2018 года специалисты обнаружили вредонос ATMDtrack, нацеленный на индийские финансовые учреждения. Согласно результатам анализа, вредоносное ПО внедряли в банкоматы для считывания данных вставляемых карт и сохранения их на ресурсах злоумышленников. Используя поисковый инструмент YARA и автоматизированную систему атрибуции «Лаборатории Касперского» (Kaspersky Attribution Engine) для анализа недавней кампании, исследователи обнаружили более 180 схожих с ATMDtrack образцов шпионских инструментов, позднее названых Dtrack.

Образцы Dtrack оказались расшифрованными дампами памяти, хотя изначально они доставляются разными дропперами только в шифрованном виде. Специалисты нашли их по общим характерным последовательностям байтов в дампах памяти ATMDtrack и Dtrack. Расшифровав итоговую полезную нагрузку дроппера Dtrack и повторно применив Kaspersky Attribution Engine, исследователи нашли совпадения с кампанией DarkSeoul 2013 года, которую приписывают группировке Lazarus. Предположительно, злоумышленники использовали часть старого кода для атак на финансовую отрасль и исследовательские центры Индии.

Однако новые вредоносные образцы не были нацелены на банкоматы, а использовались в качестве шпионского ПО. Возможности обнаруженных исполняемых файлов полезной нагрузки Dtrack включают клавиатурный шпион, получение истории браузера, сбор IP-адресов хостов, информации о доступных сетях и активных соединениях, список всех запущенных процессов и список всех файлов на всех доступных дисках.

Дропперы также содержали средства удаленного администрирования ПК (Remote Administration Tool, RAT), позволяющие злоумышленникам выполнять различные операции на хосте, включая загрузку, скачивание, запуск файлов и пр.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь