Kötü şöhretli Kuzey Koreli bilgisayar korsanlığı topluluğu Lazarus Group, Avrupa ve Latin Amerika’daki firmaları hedeflemek için DTrack arka kapısının güncellenmiş bir sürümünü kullanıyor. Kaspersky araştırmacıları, kampanya tamamen kâr amacı güttüğü için grubun para peşinde olduğunu söylüyor.
BleepingBilgisayar (yeni sekmede açılır) tehdit aktörlerinin Almanya, Brezilya, Hindistan, İtalya, Meksika, İsviçre, Suudi Arabistan, Türkiye ve Amerika Birleşik Devletleri’ndeki şirketleri hedeflemek için güncellenmiş DTrack’i kullandığını bildirdi.
Ateş altındaki firmalar arasında hükümet araştırma merkezleri, politika enstitüleri, kimya üreticileri, BT hizmet sağlayıcıları, telekomünikasyon sağlayıcıları, kamu hizmeti sağlayıcıları ve eğitim firmaları yer alıyor.
modüler arka kapı
DTrack, modüler bir arka kapı olarak tanımlanır. Tuş vuruşlarını günlüğe kaydedebilir, ekran görüntüleri alabilir, tarayıcı geçmişini sızdırabilir, çalışan işlemleri görüntüleyebilir ve ağ bağlantısı bilgilerini alabilir.
Ayrıca hedef uç noktada farklı komutlar çalıştırabilir, ek kötü amaçlı yazılım indirebilir ve verileri sızdırabilir.
Güncelleme sonrası, DTrack artık kitaplıkları ve işlevleri yüklemek için gizlenmiş dizeler yerine API karmasını kullanıyor ve önceki altı sunucuya kıyasla artık yalnızca üç komut ve kontrol (C2) sunucusu kullanıyor.
Kaspersky’nin arka kapı tarafından kullanıldığını ortaya çıkardığı C2 sunucularından bazıları “pinkgoat”[.]com”, “purewatertokyo[.]com”, “mor ayı[.]com” ve “somon tavşanı[.]com.
Ayrıca, DTrack’in genellikle yasal yürütülebilir dosyalarla ilişkilendirilen dosya adlarıyla etiketlenmiş kötü amaçlı yazılımları dağıttığını da tespit etti.
Bir durumda, arka kapının genellikle NVIDIA tarafından dağıtılan yürütülebilir bir dosya olan “NvContainer.exe”nin arkasına saklandığı söylendi. Grup, hedef ağlarda oturum açmak için çalınan kimlik bilgilerini kullanır veya kötü amaçlı yazılımı yüklemek için internete açık sunuculardan yararlanır.