近期,一项重大的新发现引起了网络安全领域的高度关注。研究人员发现了与名为 Wslink 的恶意软件下载器相关的全新后门,而这个工具极有可能被臭名昭著的朝鲜联盟 Lazarus 集团所使用。
被 ESET 命名为 WinorDLL64 的这个有效负载,展现出了强大而全面的功能。它能够泄露、覆盖和删除文件,执行 PowerShell 命令,并且可以获取有关底层机器的详尽信息。除此之外,它还具备列出活动会话、创建和终止进程、枚举驱动器以及压缩目录等多种能力。
Wslink 最早于 2021 年 10 月由斯洛伐克网络安全公司记录在案,当时被形容为一个 “简单却非凡” 的恶意软件加载程序,具有在内存中执行接收到的模块的能力。ESET 研究员 Vladislav Hrčka 指出:“Wslink 的有效载荷在后续可能被用于横向移动,因为它对网络会话表现出了特别的兴趣。Wslink 加载程序会监听配置中指定的端口,能够为其他连接的客户端提供服务,甚至可以加载各种不同的有效负载。”
据悉,利用该恶意软件进行的入侵具有极高的针对性。迄今为止,仅仅在中欧、北美和中东地区观察到了少数的检测情况。2022 年 3 月,ESET 曾详细阐述该恶意软件使用了 “高级多层虚拟机” 混淆器,以此来逃避检测并抵御逆向工程。
Lazarus 集团与此次恶意软件的联系,源于其行为和代码与先前的活动(如 GhostSecret 行动和 Bankshot)存在重叠,这些活动都被归因于高级持续威胁。其中,与 McAfee 在 2018 年详细介绍的 GhostSecret 示例有着相似之处,这些示例带有作为服务运行的 “数据收集和植入安装组件”,这与 Wslink 的行为如出一辙。ESET 表示,有效载荷是从韩国上传到 VirusTotal 恶意软件数据库的,而一些受害者也位于此地,这进一步增加了 Lazarus 集团参与其中的可信度。
这些调查结果再次证明了 Lazarus 集团为渗透目标所使用的大量黑客工具。正如 ESET 所说,Wslink 的有效载荷致力于提供文件操作、执行进一步代码的方法,并获取有关底层系统的广泛信息,这些信息在未来可能被用于横向移动。
在当今复杂的网络安全环境中,这样的发现提醒着我们,网络威胁始终存在且不断演变,我们必须保持高度警惕,加强网络安全防护措施,以应对来自恶意组织的持续挑战。
被 ESET 命名为 WinorDLL64 的这个有效负载,展现出了强大而全面的功能。它能够泄露、覆盖和删除文件,执行 PowerShell 命令,并且可以获取有关底层机器的详尽信息。除此之外,它还具备列出活动会话、创建和终止进程、枚举驱动器以及压缩目录等多种能力。
Wslink 最早于 2021 年 10 月由斯洛伐克网络安全公司记录在案,当时被形容为一个 “简单却非凡” 的恶意软件加载程序,具有在内存中执行接收到的模块的能力。ESET 研究员 Vladislav Hrčka 指出:“Wslink 的有效载荷在后续可能被用于横向移动,因为它对网络会话表现出了特别的兴趣。Wslink 加载程序会监听配置中指定的端口,能够为其他连接的客户端提供服务,甚至可以加载各种不同的有效负载。”
据悉,利用该恶意软件进行的入侵具有极高的针对性。迄今为止,仅仅在中欧、北美和中东地区观察到了少数的检测情况。2022 年 3 月,ESET 曾详细阐述该恶意软件使用了 “高级多层虚拟机” 混淆器,以此来逃避检测并抵御逆向工程。
Lazarus 集团与此次恶意软件的联系,源于其行为和代码与先前的活动(如 GhostSecret 行动和 Bankshot)存在重叠,这些活动都被归因于高级持续威胁。其中,与 McAfee 在 2018 年详细介绍的 GhostSecret 示例有着相似之处,这些示例带有作为服务运行的 “数据收集和植入安装组件”,这与 Wslink 的行为如出一辙。ESET 表示,有效载荷是从韩国上传到 VirusTotal 恶意软件数据库的,而一些受害者也位于此地,这进一步增加了 Lazarus 集团参与其中的可信度。
这些调查结果再次证明了 Lazarus 集团为渗透目标所使用的大量黑客工具。正如 ESET 所说,Wslink 的有效载荷致力于提供文件操作、执行进一步代码的方法,并获取有关底层系统的广泛信息,这些信息在未来可能被用于横向移动。
在当今复杂的网络安全环境中,这样的发现提醒着我们,网络威胁始终存在且不断演变,我们必须保持高度警惕,加强网络安全防护措施,以应对来自恶意组织的持续挑战。
