C’è con ogni probabilità il gruppo APT Lazarus, affiliato alla Corea del Nord, dietro la scoperta fatta da ESET della backdoor WinorDLL64, in grado ottenere informazioni sul sistema in uso. WinorDLL64 è uno dei payload del downloader Wslink. Il payload di Wslink è in grado di esfiltrare, sovrascrivere e rimuovere file, eseguire comandi e ottenere ampie informazioni sul sistema di base.
Come viene usato il payload
Vladislav Hrčka, ricercatore ESET che ha effettuato la scoperta
Wslink, il cui nome file è WinorLoaderDLL64.dll, è un loader per i binari di Windows. A differenza di altri loader di questo tipo, opera come server ed esegue i moduli ricevuti in memoria. Come suggerisce la dicitura, un loader serve come strumento per caricare un payload, o il malware vero e proprio, sul sistema già compromesso. Il payload di Wslink può essere sfruttato in un secondo momento per un movimento laterale, grazie al suo interesse specifico per le sessioni di rete. Il loader Wslink è in attesa su una porta specificata nella configurazione e può servire altri client connessi e persino caricare vari payload.
Scoperta la backdoor WinorDLL64
WinorDLL64 contiene sovrapposizioni sia nel comportamento che nel codice con diversi campioni di Lazarus. Questo indica che potrebbe essere uno strumento del vasto arsenale di questo gruppo APT. Il payload Wslink, inizialmente sconosciuto, è stato caricato su VirusTotal dalla Corea del Sud poco dopo la pubblicazione di un post del blog di ESET Research sul loader Wslink. La telemetria di ESET ha rilevato solo pochi casi di loader Wslink in Europa centrale, Nord America e Medio Oriente. I ricercatori di AhnLab hanno confermato le vittime sudcoreane di Wslink nella loro telemetria. Il che è un indicatore rilevante, considerando gli obiettivi tradizionali di Lazarus e il fatto che ESET Research ha osservato solo pochi rilevamenti.
Alcuni esempi
Attivo almeno dal 2009, questo famigerato gruppo è responsabile di incidenti di alto profilo come l’hack di Sony Pictures Entertainment , le frodi informatiche da decine di milioni di dollari del 2016, l’epidemia di WannaCryptor (alias WannaCry) del 2017. Oltre a una lunga serie di attacchi dirompenti contro le infrastrutture pubbliche e critiche sudcoreane almeno dal 2011. L’US-CERT e l’FBI chiamano questo gruppo HIDDEN COBRA.