Zaloguj się
Wszystkie
8 marca 2023
498
ESET
Nowoodkryte zagrożenie stanowi program ładujący (ang. loader) WinorDLL64 używany przez szkodliwe narzędzie Wslink. Może ono: wykradać, nadpisywać i usuwać pliki, przeprowadzać, w rzeczy samej, polecenia i uzyskiwać ważkie informacje o systemie. Zarówno pod względem działania, jak i kodu jest zbliżony do pozostałych programów grupy APT Lazarus. Może on być zatem jednym z narzędzi autorstwa cyberprzestępców, z Korei Północnej. Nowy koń trojański został wysłany do serwisu identyfikującego zagrożenia VirusTotal z Korei Południowej, tuż po opublikowaniu przez badaczy ESET informacji na temat Wslink.
Jak wyjaśnia jeden z badaczy w firmie ESET, Vladislav Hrčka:
"WinorDLL64, jest programem ładującym (...), który (...) działa jako serwer i zachowuje różne, otrzymane moduły w pamięci. Jak sama nazwa wskazuje, program ładujący - tj. loader, służy do skrytego wgrywania złośliwego oprogramowania do zainfekowanego wcześniej systemu. Element załadowany za pośrednictwem Wslink może następnie umożliwić przeprowadzanie ataków z użyciem ruchu bocznego (ang. lateral movement), ze względu na jego nastawienie, jeśli chodzi o sesje sieciowe. Moduł ładujący Wslink nasłuchuje na porcie, który określono w konfiguracji i może obsługiwać klientów łączących się z nim, a nawet wprowadzać w system kolejne złośliwe elementy."
Więcej informacji pod adresem: eset.com
Facebook
Twitter
Linkedin
Kup teraz
