Эксперты компании ESET сообщили о обнаружении нового бэкдора, который, вероятно, связан с северокорейской группой Lazarus. Этот инструмент, названный WinorDLL64, является полнофункциональным имплантатом, который может перезаписывать и удалять файлы, выполнять команды PowerShell, собирать конфиденциальную информацию о машине, создавать и завершать процессы, перечислять диски и сжимать каталоги.
Вредоносная программа использует загрузчик Wslink, который прослушивает порт, указанный в конфигурации, и может обрабатывать дополнительных подключающихся клиентов, а также загружать полезную нагрузку. Атаки с использованием бэкдора направлены на конкретные цели и были зарегистрированы только несколько раз в Центральной Европе, Северной Америке и на Ближнем Востоке.
Эксперты установили связь между бэкдором и Lazarus Group, основываясь на сходстве кода с образцами GhostSecret из предыдущих кампаний группы. Кроме того, полезная нагрузка была загружена в базу VirusTotal из Южной Кореи, где находятся некоторые из жертв, что также указывает на причастность Lazarus.
По словам исследователей, бэкдор может быть использован для бокового перемещения и предоставляет средства для манипулирования файлами, выполнения кода и получения обширной информации о базовой системе. В марте 2022 года было обнаружено, что вредоносная программа использует обфускатор «расширенной многоуровневой виртуальной машины», чтобы избежать обнаружения и противостоять реверс-инжинирингу.
Вредоносная программа использует загрузчик Wslink, который прослушивает порт, указанный в конфигурации, и может обрабатывать дополнительных подключающихся клиентов, а также загружать полезную нагрузку. Атаки с использованием бэкдора направлены на конкретные цели и были зарегистрированы только несколько раз в Центральной Европе, Северной Америке и на Ближнем Востоке.
Эксперты установили связь между бэкдором и Lazarus Group, основываясь на сходстве кода с образцами GhostSecret из предыдущих кампаний группы. Кроме того, полезная нагрузка была загружена в базу VirusTotal из Южной Кореи, где находятся некоторые из жертв, что также указывает на причастность Lazarus.
По словам исследователей, бэкдор может быть использован для бокового перемещения и предоставляет средства для манипулирования файлами, выполнения кода и получения обширной информации о базовой системе. В марте 2022 года было обнаружено, что вредоносная программа использует обфускатор «расширенной многоуровневой виртуальной машины», чтобы избежать обнаружения и противостоять реверс-инжинирингу.