News
ESET découvre une porte dérobée certainement utilisée par le groupe Lazarus, nommée WinorDLL64
février 2023 par ESET
Les chercheurs d’ESET ont découvert l’une des charges utile (payload) du téléchargeur Wslink : une porte dérobée nommée WinorDLL64. La région ciblée ainsi que des similitudes au niveau du comportement et du code suggèrent que cet outil peut faire partie de l’arsenal du groupe de pirates Lazarus. La porte dérobée est capable d’exfiltrer, d’écraser et de supprimer des fichiers, d’exécuter des commandes et d’obtenir des informations détaillées sur le système touché.
· Les chercheurs d’ESET ont découvert l’une des charges utile (payload) du téléchargeur Wslink : une porte dérobée nommée WinorDLL64.
· La région ciblée ainsi que des similitudes au niveau du comportement et du code suggèrent que cet outil peut faire partie de l’arsenal du groupe de pirates Lazarus.
· La porte dérobée est capable d’exfiltrer, d’écraser et de supprimer des fichiers, d’exécuter des commandes et d’obtenir des informations détaillées sur le système touché.
· Le malware a été transmis à VirusTotal depuis la Corée du Sud, où se situent des victimes.
« Wslink, dont le fichier porte le nom WinorLoaderDLL64.dl, est un chargeur d’exécutables Windows qui, contrairement aux autres chargeurs de ce type, fonctionne sous forme de serveur et exécute en mémoire les modules qu’il réceptionne. Un chargeur d’’exécutables sert à charger en mémoire un logiciel malveillant ou la charge utile (payload) sur un système compromis, » explique Vladislav Hrčka, le chercheur d’ESET qui a fait cette découverte. « Le malware Wslink peut être utilisé ultérieurement à des fins de mouvement latéral, en raison de son intérêt spécifique pour les sessions réseau. Le chargeur Wslink est en écoute sur un port spécifié dans sa configuration et peut répondre à des clients. » ajoute-t-il.
Le code et le comportement de WinorDLL64 présente des similitudes avec plusieurs échantillons attribués au groupe Lazarus, ce qui indique qu’il pourrait s’agir d’un outil provenant de l’arsenal de ce groupe de pirates aligné avec la Corée du Nord.
Le malware Wslink, initialement inconnu, a été transmis à VirusTotal depuis la Corée du Sud peu après la publication d’un article d’ESET Research sur le chargeur Wslink. La télémétrie d’ESET n’a vu que quelques détections du chargeur Wslink en Europe centrale, en Amérique du Nord et au Moyen-Orient. Les chercheurs d’AhnLab ont confirmé des victimes sud-coréennes de Wslink dans leur télémétrie, ce qui est un indicateur pertinent, compte tenu des cibles traditionnelles de Lazarus et du fait qu’ESET Research n’a observé que quelques détections.
Actif depuis au moins 2009, ce groupe aligné sur la Corée du Nord est responsable d’incidents très médiatisés tels que le piratage de Sony Pictures Entertainment, le vol de cryptomonnaies en 2016 d’une valeur de plusieurs dizaines de millions de dollars, l’infection de WannaCryptor (alias WannaCry) en 2017, et une longue série d’attaques perturbatrices contre des infrastructures essentielles et publiques de la Corée du Sud depuis au moins 2011. L’US-CERT et le FBI nomment ce groupe HIDDEN COBRA.
