卡巴斯基最新發現！朝鮮黑客使用新的惡意軟件瞄準歐洲組織

朝鮮黑客正在使用新版本的 DTrack 后門來攻擊歐洲和拉丁美洲的組織。DTrack 是一個模塊化后門，具有鍵盤記錄器、屏幕截圖捕捉器、瀏覽器歷史記錄檢索器、運行進程窺探器、IP 地址和網絡連接信息捕捉器等。

除了間諜之外，它還可以運行命令來執行文件操作、獲取額外的有效負載、竊取文件和數據，以及在受感染的設備上執行進程。與過去分析的樣本相比，新的惡意軟件版本沒有太多功能或代碼更改，但現在部署范圍更廣。

分布更廣

正如卡巴斯基在今天發布的一份報告中所解釋的那樣，他們的遙測顯示了德國、巴西、印度、意大利、墨西哥、瑞士、沙特阿拉伯、土耳其和美國的 DTrack 活動。

目標行業包括政府研究中心、政策機構、化學品制造商、IT 服務提供商、電信提供商、公用事業服務提供商和教育。在新的攻擊活動中，卡巴斯基發現 DTrack 使用通常與合法可執行文件關聯的文件名進行分發。

例如， 他們共享的一個樣本 以“NvContainer.exe”文件名分發，該文件名與合法的 NVIDIA 文件同名。

卡巴斯基指出，DTrack 繼續通過使用竊取的憑據破壞網絡或利用暴露在 Internet 上的服務器來安裝，如 之前的活動所示。啟動后，惡意軟件會經過多個解密步驟，然后通過挖空進程將其最終有效負載加載到直接從內存運行的“explorer.exe”進程中。

與過去的 DTrack 變體的唯一區別是它現在使用 API 散列來加載庫和函數而不是混淆字符串，并且 C2 服務器的數量已減少一半，僅為三個。

卡巴斯基發現的一些 C2 服務器是：

“pinkgoat[.]com”、

“purewatertokyo[.]com”

“purplebear[.]com”

“salmonrabbit[.]com”

DTrack歸因

卡巴斯基將此活動歸因于朝鮮 Lazarus 黑客組織，并聲稱威脅行為者只要看到潛在的經濟利益就會使用 DTrack。

2022 年 8 月，同一研究人員將該后門與被追蹤為“ Andariel ”的朝鮮黑客組織聯系起來，該組織在美國和韓國的企業網絡中部署了 Maui 勒索軟件。=

2020 年 2 月，Dragos 將 DTrack 與攻擊核能和油氣設施的朝鮮威脅組織“ Wassonite ”聯系起來。