M
Mr.Dante
Гость
Привет, камрады, друзья-товарищи и просто читатели. Мы мало что знаем о КНР, отсюда и интерес к данной новости. Специалисты компании «Лаборатория Касперского» донесли до нас информацию, что за серийными атаками на европейские организации стоит северокорейская хак-группа Lazarus.
Хакеры пользуются собственным разработанным ПО DTrack, которое можно назвать многомодульным бэкдором нового поколения. Данная вредоносная штука сочетает в себе:
«Лаборатория Касперского» отмечает, что:
«Основными целями хакеров стали правительственные исследовательские центры, аналитические центры, производители химической продукции, поставщики IT-услуг, телекоммуникационные компании, поставщики коммунальных услуг и образовательные учреждения.» Искали ли они уязвимости в ПО или просто собирали информацию – пока неизвестно.
DTrack маскируется под файлы, которые ОС заранее считает безопасными. Например, NvContainer.exe, который всегда есть у пользователей видеокарт от NVIDIA. Само заражение производится нестандартным способом. Для начала взламывается сеть. Делается это с помощью украденных данных от учеток и серверов. Затем запускается DTrack, который после нескольких этапов дешифровки встраивает себя же в процесс «explorer.exe».
Для загрузки библиотек и функций используется хэширование API вместо обфусцированных строк. Количество C&C-серверов сократилось вдвое – до трех. По сравнению со старой версией модульного бэкдора, новая выглядит более внушительной и универсальной. Примечательно, что «Лаборатория Касперского» утверждает, что вредоносное ПО запускается каждый раз, когда хакерская группировка планирует получить финансовую выгоду, а не просто украсть данные.
Хакеры пользуются собственным разработанным ПО DTrack, которое можно назвать многомодульным бэкдором нового поколения. Данная вредоносная штука сочетает в себе:
- Кейлоггинг;
- Перехват скриншотов;
- Перехват IP-адресов/информации о сетевых подключениях;
- Перехват запущенных процессов;
- Сбор истории браузера.
«Лаборатория Касперского» отмечает, что:
«Основными целями хакеров стали правительственные исследовательские центры, аналитические центры, производители химической продукции, поставщики IT-услуг, телекоммуникационные компании, поставщики коммунальных услуг и образовательные учреждения.» Искали ли они уязвимости в ПО или просто собирали информацию – пока неизвестно.
DTrack маскируется под файлы, которые ОС заранее считает безопасными. Например, NvContainer.exe, который всегда есть у пользователей видеокарт от NVIDIA. Само заражение производится нестандартным способом. Для начала взламывается сеть. Делается это с помощью украденных данных от учеток и серверов. Затем запускается DTrack, который после нескольких этапов дешифровки встраивает себя же в процесс «explorer.exe».
Для загрузки библиотек и функций используется хэширование API вместо обфусцированных строк. Количество C&C-серверов сократилось вдвое – до трех. По сравнению со старой версией модульного бэкдора, новая выглядит более внушительной и универсальной. Примечательно, что «Лаборатория Касперского» утверждает, что вредоносное ПО запускается каждый раз, когда хакерская группировка планирует получить финансовую выгоду, а не просто украсть данные.
