朝鲜黑客正在使用新版本的 DTrack 后门来攻击欧洲和拉丁美洲的组织。
DTrack 是一个模块化后门,具有键盘记录器、屏幕截图捕捉器、浏览器历史记录检索器、运行进程窥探器、IP 地址和网络连接信息捕捉器等。
除了间谍之外,它还可以运行命令来执行文件操作、获取额外的有效负载、窃取文件和数据,以及在受感染的设备上执行进程。
与过去分析的样本相比,新的恶意软件版本没有太多功能或代码更改,但现在部署范围更广。
分布更广
正如 卡巴斯基 在今天发布的一份报告中所解释的那样,他们的遥测显示了德国、巴西、印度、意大利、墨西哥、瑞士、沙特阿拉伯、土耳其和美国的 DTrack 活动。
目标行业包括政府研究中心、政策机构、化学品制造商、IT 服务提供商、电信提供商、公用事业服务提供商和教育。
在新的攻击活动中,卡巴斯基发现 DTrack 使用通常与合法可执行文件关联的文件名进行分发。
例如, 他们共享的一个样本 以“NvContainer.exe”文件名分发,该文件名与合法的 NVIDIA 文件同名。
卡巴斯基告诉 BleepingComputer,DTrack 继续通过使用窃取的凭据破坏网络或利用暴露在 Internet 上的服务器来安装,如 之前的活动所示。
启动后,恶意软件会经过多个解密步骤,然后通过挖空进程将其最终有效负载加载到直接从内存运行的“explorer.exe”进程中。
与过去的 DTrack 变体的唯一区别是它现在使用 API 散列来加载库和函数而不是混淆字符串,并且 C2 服务器的数量已减少一半,仅为三个。
卡巴斯基发现的一些 C2 服务器是“pinkgoat[.]com”、“purewatertokyo[.]com”、“purplebear[.]com”和“salmonrabbit[.]com”。
DTrack归因
卡巴斯基将此活动归因于朝鲜 Lazarus 黑客组织,并声称威胁行为者只要看到潜在的经济利益就会使用 DTrack。
2022 年 8 月,同一研究人员将该后门与被追踪为“ Andariel ”的朝鲜黑客组织联系起来,该组织在美国和韩国的企业网络中部署了 Maui 勒索软件。
2020 年 2 月,Dragos 将 DTrack 与攻击核能和油气设施的朝鲜威胁组织“ Wassonite ”联系起来。
