Hlavní navigace

Eset zaznamenal nové aktivity skupiny Lazarus, útok má stopy i v Česku

28. 2. 2023
Doba čtení: 2 minuty

Sdílet

 Autor: (c) Gorodenkoff - Fotolia.com
To, že útok byl detekován i v České republice, podle expertů jasně vypovídá o tom, že Česku se nevyhýbají ani pokročilé hrozby.

Společnost Eset informuje, že její analytici objevili nový útok malwaru Wslink, který je využíván pro kyberšpionáž. Následnou analýzou bylo zjištěno, že tento škodlivý kód byl využit pro zločinecké aktivity v několika zemích Severní Ameriky, Blízkého východu a střední Evropy.

Eset zároveň může potvrdit, že tento malware byl detekován i v České republice. Podle všech dostupných informací za ním stojí kyberkriminální APT skupina Lazarus, která má vazby na režim v Severní Koreji.

Útočníci pomocí škodlivého kódu mají možnost vniknout do vnitřní sítě napadené organizace skrze útočníkem vytvořená zadní vrátka – tuto roli hraje v námi popsaném útoku jeden z modulů programu Wslink – backdoor WinorDLL64, říká Vladislav Hrčka, výzkumný analytik Esetu, který aktuální útok objevil.

Malware pak může získat v podstatě libovolné informace, které mohou útočníci následně zpeněžit, nebo využít takto získaná data pro špionáž. Objevený backdoor dokáže exfiltrovat, přepisovat a odstraňovat soubory, spouštět příkazy a získávat rozsáhlé informace o systému,“ upřesňuje.

Vyčkávající hrozba

Technicky přesně lze podle Hrčky detekovaný útok popsat následovně – Wslink, který obsahuje soubor s názvem WinorLoaderDLL64.dll, je loader binárních souborů systému Windows, který funguje jako server a spouští přijaté moduly v paměti.

Jedná se tak o univerzální jádro čekající na napadeném zařízení na dodání dalšího škodlivého kódu, který pak provede konkrétní, závadnou akci, tedy vpuštění vlastního malwaru do již napadeného systému. Díky své modularitě a schopnosti stáhnout a zavést další modul může být později využíván také k dalším krokům,“ vysvětluje.

Eset upřesňuje, že WinorDLL64 se svou podobou i chováním překrývá s několika vzorky skupiny Lazarus, což naznačuje, že by mohlo jít o nástroj z rozsáhlého arzenálu této severokorejské APT skupiny.

Stopy vedou i do střední Evropy

Původně neznámý DLL modul WinorDLL64 byl podle Esetu na bezpečnostní web VirusTotal nahrán z Jižní Koreje, krátce po zveřejnění příspěvku na blogu kyberbezpečnostní společnoti, a tím odhalil, jaké moduly malware Wslink stahuje a spouští.

Telemetrie společnosti Eset zaznamenala pouze několik detekcí loaderu Wslink v Severní Americe, na Blízkém východě a ve střední Evropě, a to včetně České republiky.

Channelworld_ozveny

Společnost AhnLab ve své telemetrii také potvrdila oběti z Jižní Koreje, což je relevantní ukazatel vzhledem k tradičním cílům skupiny Lazarus a k tomu, že Eset zaznamenal pouze několik detekcí.

Zdroj: Eset

Byl pro vás článek přínosný?

Čtěte dále

Editorial: Vychází nový ChannelWorld aneb lidé a AI
Editorial: Vychází nový ChannelWorld aneb lidé a AI
Fortinet se připojuje k iniciativě EK ohledně vzdělávání v kyberbezpečnosti
Fortinet se připojuje k iniciativě EK ohledně vzdělávání v kyberbezpečnosti
GFI Software: Úspěšnost útoků zvyšuje podceňování hrozeb i neopatrnost uživatelů
GFI Software: Úspěšnost útoků zvyšuje podceňování hrozeb i neopatrnost uživatelů
Reportáž: Dusíková show a spousta novinek na eD Expo 2024
Reportáž: Dusíková show a spousta novinek na eD Expo 2024
TD Synnex bude i nadále distributorem VMware by Broadcom v České republice
TD Synnex bude i nadále distributorem VMware by Broadcom v České republice
IDC: Dodávky nositelné elektroniky by příští rok mohly růst dvouciferně
IDC: Dodávky nositelné elektroniky by příští rok mohly růst dvouciferně