| 0 |
|
Компанія Eset виявила нову активність APT-групи Lazarus, яка цього разу використовувала бекдор WinorDLL64, один із компонентів завантажувача Wslink. Загроза може перехоплювати, переписувати та видаляти файли, виконувати команди та отримувати розширену інформацію про систему.
За даними телеметрії Eset, завантажувач Wslink було зафіксовано в Центральній Європі, а також Північній Америці та на Близькому Сході. Цілі, поведінка та код WinorDLL64 має подібності з кількома зразками Lazarus, що свідчить про належність до інструментарію цієї відомої APT-групи.
Wslink – це завантажувач для бінарних файлів Windows, який має назву файлу WinorLoaderDll64.dll та працює як сервер, виконуючи отримані модулі у пам'яті. Також цей шкідливий інструмент використовується для завантаження компонента або шкідливого програмного забезпечення у вже інфіковану систему. Пізніше компонент Wslink може бути використаний для подальшого поширення через його інтерес до мережевих сесій. Завантажувач Wslink отримує доступ до порту, вказаний у конфігурації, та може обслуговувати додаткових підключених клієнтів та навіть завантажувати різні компоненти.
Варто зазначити, що APT-група Lazarus активна принаймні з 2009 року та відповідальна за масштабні кібератаки, зокрема злам Sony Pictures Entertainment, викрадення десятків мільйонів доларів у 2016 році, поширення WannaCryptor у 2017 році та багато руйнівних атак на південнокорейських користувачів та критичну інфраструктуру.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
