Kuzey Koreli bilgisayar korsanları, Avrupa ve Latin Amerika'daki organizasyonlara saldırmak için DTrack Backdoor'un yeni bir versiyonunu kullanıyor.
DTrack, bir keylogger, ekran görüntüsü snapper, bir tarayıcı geçmişi geri alıcısı, bir çalışma işlemleri snooper, bir IP adresi ve ağ bağlantısı bilgi birikimi ve daha fazlasını içeren modüler bir arka kapıdır.
Casusluk dışında, dosya işlemlerini gerçekleştirmek, ek yükler getirmek, dosyaları ve verileri çalmak ve tehlikeye atılan cihazda işlemleri yürütmek için komutları da çalıştırabilir.
Yeni kötü amaçlı yazılım sürümü, geçmişte analiz edilen örneklere kıyasla birçok işlevsel veya kod değişikliği içermiyor, ancak şimdi çok daha geniş bir şekilde dağıtılıyor.
Kaspersky'nin bugün yayınlanan bir raporda açıkladığı gibi, telemetrileri Almanya, Brezilya, Hindistan, İtalya, Meksika, İsviçre, Suudi Arabistan, Türkiye ve Amerika Birleşik Devletleri'nde DTRACK faaliyetini gösteriyor.
Hedeflenen sektörler arasında devlet araştırma merkezleri, politika enstitüleri, kimyasal üreticiler, BT hizmet sağlayıcıları, telekomünikasyon sağlayıcıları, kamu hizmeti sağlayıcıları ve eğitim bulunmaktadır.
Yeni kampanyada Kaspersky, DTrack'ın meşru yürütülebilir dosyalarla yaygın olarak ilişkili dosya adları kullanılarak dağıtıldığını gördü.
Örneğin, paylaştıkları bir örnek, meşru bir NVIDIA dosyasıyla aynı ad olan 'nvcontainer.exe' dosya adı altında dağıtılır.
Kaspersky, BleepingComputer'a, DTRACC'ın çalınan kimlik bilgilerini kullanarak veya önceki kampanyalarda görüldüğü gibi internete maruz kalan sunuculardan yararlanarak ağları ihlal ederek yüklenmeye devam ettiğini söyledi.
Başlatıldığında, kötü amaçlı yazılım, son yükü işlem yoluyla doğrudan bellekten çalışan bir "explorer.exe" işlemine yüklenmeden önce birden fazla şifre çözme adımından geçer.
Geçmiş DTRACK varyantlarının tek farklılıkları, artık diziler yerine kütüphaneleri ve işlevleri yüklemek için API karma kullanması ve C2 sunucularının sayısının yarıya kadar kesildiğidir.
Kaspersky tarafından ortaya çıkarılan C2 sunucularından bazıları “pinkgoat [.] Com”, “Purewatertokyo [.] Com”, “Purplebear [.] Com” ve “Salmonrabbit [.] Com.” Dır.
Kaspersky bu etkinliği Kuzey Kore Lazarus Hacking Grubuna bağlar ve tehdit aktörlerinin finansal kazanım potansiyelini her gördüğünde DTrack kullandıklarını iddia eder.
Ağustos 2022'de, aynı araştırmacılar arka kapıyı ABD ve Güney Kore'deki kurumsal ağlarda Maui fidye yazılımlarını konuşlandıran 'Andariel' olarak izlenen Kuzey Kore hack grubuna bağladılar.
Şubat 2020'de Dragos, Dtrack'ı nükleer enerji ve petrol ve gaz tesislerine saldıran bir Kuzey Kore tehdit grubu olan 'Wassonite' ile ilişkilendirdi.
Lazarus Hacker'ları kötüye kullanma Dell sürücü hatası yeni Fudmodule rootkit kullanarak
Microsoft: Lazarus Hacker'ları açık kaynaklı yazılımı silahlandırıyor
Lazarus Hackers, Crypto.com iş teklifleri aracılığıyla macOS kötü amaçlı yazılımları bırakın
Hackerlar, kötü amaçlı yazılımları kontrol etmek için Microsoft IIS Web Server günlüklerini kullanır
Bilgisayar korsanları, 60'dan fazla kurbanı hedeflemek için yeni gizli Powershell arka kapısı kullanıyor
Kaynak: Bleeping Computer