північнокорейські хакери атакували Європу та Латинську Америку за допомогою оновлення DTrack

Стало відомо, що хакери, пов'язані з урядом Північної Кореї, атакують широкий спектр галузей Німеччини, Бразилії, Індії, Італії, Мексики, Швейцарії, Саудівської Аравії, Туреччини та США за допомогою оновленого Dtrack. Останній сприяє тому, щоб зловмисники завантажували, завантажували, запускали або видаляли файли на хості-жертві. Про цю новину повідомив The Hacker News 17 листопада 2022 року.

Проблему виявили дослідники «Лабораторії Касперського», що склали надалі звіт про діяльність комп'ютерних шахраїв. Аналіз даних демонструє, що хакерські атаки широко поширені на території Європи і Латинської Америки. Найактивніше зловмисники впроваджують шкідливе програмне забезпечення (ПО) на такі сектори, як Освіта , хімічна Виробництво , урядові дослідницькі центри та політичні інститути, а також на постачальників ІТ-послуг, комунальних послуг та телекомунікаційні компанії.

Dtrack, він же Valefor і Preft, є результатом праць Andariel, підгрупи Lazarus , яка характеризується, як представляє загрозу на національному рівні. Вона публічно відстежується організаціями з кібербезпеки. Вперше dtrack виявлений у вересні 2019 року в рамках атаки індійської атомної електростанції. Згодом Dtrack використовувався в якості складової атак програм-вимагачів Мауї.

Зміни, відмічені «Лабораторією Касперського», описуються, як «імплантат, що приховує присутність шкідливої програми» всередині файлу «NvContainer.exe " або " XColorHexagonCtrlTest.exe». Шкідливе ПЗ використовує близько трьох рівнів шифрування, щоб утруднити аналіз файлів. Корисне навантаження після розшифровки вводиться в процес Провідника Windows ("explorer.exe") з використанням методу «порожнього процесу». Dtrack завантажує модулі "кейлоггера" і інструментарій захоплення знімків екрану і збору системної інформації.

Раніше «WorldBank.org.ua» розповів про те, що північнокорейські хакери Lazarus Group атакують енергетичні компанії по всьому світу.