Хак-группа Lazarus использует малварь Dtrack для атак на индийские финансовые организации

Специалисты «Лаборатории Касперского» обнаружили в сетях индийских финансовых организаций и исследовательских центров ранее неизвестное шпионское ПО, созданное северокорейской группировкой Lazarus. Причем последняя активность DTrack наблюдалась в начале сентября 2019 года.

Банкер ATMDtrack обнаружили в конце лета 2018 года. Он был нацеленный на индийские финансовые учреждения. Анализ показал, что малварь внедряли в банкоматы, где вредонос считывал данные вставляемых карт и сохранял их на ресурсах злоумышленников. Используя YARA и автоматизированную систему атрибуции «Лаборатории Касперского» (Kaspersky Attribution Engine), исследователи выявили более 180 новых образцов шпионских инструментов, позднее названных Dtrack.

Изначально все обнаруженные образцы Dtrack оказались расшифрованными дампами памяти, хотя изначально они доставляются разными дропперами только в шифрованном виде. Эксперты смогли найти их благодаря общим характерным последовательностям байтов в дампах памяти ATMDtrack и Dtrack. Но как только исследователи расшифровали итоговую полезную нагрузку  дроппера Dtrack и снова применили Kaspersky Attribution Engine, обнаружилось много общего с кампанией DarkSeoul далекого 2013 года, которую приписывают группировке Lazarus. Похоже, что злоумышленники использовали часть своего старого кода, чтобы атаковать финансовую отрасль и исследовательские центры Индии.

В общей сложности аналитикам удалось обнаружить более 180 новых вредоносных образцов с последовательностями кодов, схожими с ATMDtrack, но не нацеленных на банкоматы, а работающих как программы-шпионы. Ниже представлен неполный список возможностей обнаруженных исполняемых файлов полезной нагрузки Dtrack:

  • клавиатурный шпион;
  • получение истории браузера;
  • сбор IP-адресов хостов, информации о доступных сетях и активных соединениях;
  • список всех запущенных процессов;
  • список всех файлов на всех доступных дисках.

Кроме того, дропперы также содержали средства удаленного администрирования ПК (Remote Administration Tool, RAT). Исполняемый файл RAT позволяет злоумышленникам выполнять различные операции на хосте, такие как загрузка, скачивание, запуск файлов и так далее.

«Lazarus — это довольно необычная кибергруппировка. Основным видом ее деятельности является кибершпионаж, но она также замечена в проведении атак, нацеленных непосредственно на кражу денег, что обычно не свойственно подобным группировкам. Огромное количество найденных нами образцов Dtrack говорит о том, что Lazarus — один из самых активных разработчиков вредоносного ПО среди APT-группировок», — комментирует Константин Зыков, антивирусный эксперт «Лаборатории Касперского».

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)