[27/02/2023] Los investigadores de ESET han descubierto el backdoor WinorDLL64, una de las cargas útiles del descargador Wslink. Según lo señalado en el comunicado de prensa, la región objetivo y la coincidencia en el comportamiento y el código sugieren que la herramienta es utilizada por el infame grupo APT Lazarus, alineado con Corea del Norte. La carga útil de Wslink puede filtrar, sobrescribir y eliminar archivos, ejecutar comandos y obtener amplia información sobre el sistema subyacente.
"Wslink, cuyo nombre de archivo es WinorLoaderDLL64.dll, es un cargador de binarios de Windows que, a diferencia de otros cargadores de este tipo, se ejecuta como servidor y ejecuta los módulos recibidos en memoria. Como su nombre indica, un cargador sirve como herramienta para cargar una carga útil, o el malware propiamente dicho, en el sistema ya comprometido", explicó Vladislav Hrcka, el investigador de ESET que realizó el descubrimiento. "La carga útil Wslink puede aprovecharse posteriormente para el movimiento lateral, debido a su interés específico en las sesiones de red. El cargador Wslink escucha en un puerto especificado en la configuración y puede servir a otros clientes que se conecten, e incluso cargar diversas cargas útiles", añadió.
WinorDLL64 contiene solapamientos tanto en comportamiento como en código con varias muestras de Lazarus, lo que indica que podría tratarse de una herramienta del vasto arsenal de este grupo APT alineado con Corea del Norte.
"El payload Wslink, inicialmente desconocido, fue subido a VirusTotal desde Corea del Sur poco después de la publicación de una entrada en el blog de ESET Research sobre el cargador Wslink. La telemetría de ESET solo ha visto unas pocas detecciones del cargador Wslink en Europa Central, Norteamérica y Oriente Medio. Los investigadores de AhnLab confirmaron víctimas surcoreanas de Wslink en su telemetría, lo cual es un indicador relevante, considerando los objetivos tradicionales de Lazarus y que ESET Research observó sólo unas pocas detecciones”, agregó Hrcka.
Activo desde al menos el 2009, este grupo alineado con Corea del Norte es responsable de incidentes de alto perfil como el hackeo a Sony Pictures Entertainment, los ciberataques de decenas de millones de dólares en el 2016, el brote de WannaCryptor (también conocido como WannaCry) en el 2017, y un largo historial de ataques disruptivos contra la infraestructura pública y crítica de Corea del Sur desde al menos 2011. El US-CERT y el FBI denominan a este grupo HIDDEN COBRA.
CIO, Perú