Nyheter, Prylar, Android, Mobiler, Appnedladdningar, Android

Nordkoreansk APT använder en ny version av DTrack-spionprogram

Kaspersky-forskare rapporterade om en ny variant av Dtrack spionprogram, som kan spåra och stjäla känsliga detaljer om mål var som helst.

De kopplade samman den nya versionens användning av nordkoreanska hackare, som använder DTrack mot företag i Europa och Latinamerika den här gången. Detta bakdörrsspionprogram körs av sig självt i målets systemminne, och stannar därmed kvar längre tid utan att upptäckas.

Dtrack ny version

En nordkoreansk hackargrupp som heter Lazarus använder enligt uppgift en ny version av DTrack – en bakdörr skadlig kod som används för att spionera på mål och installera ytterligare skadlig programvara.

Detaljerade deras verksamhet, Kaspersky-forskare sa att hackningsgruppen använder DTrack mot organisationer i Latinamerika och Europa.

Mer specifikt riktar de sig till statliga forskningscentra, policyinstitut, kemikalietillverkare, IT-tjänsteleverantörer, telekommunikationsleverantörer och utbildningsenheter i Tyskland, Brasilien, Indien, Italien, Mexiko, Schweiz, Saudiarabien, Turkiet och USA.

Denna bakdörr skadliga programvara kan utföra en rad aktiviteter som tangentloggning, skärmdump, hämtning av webbläsarhistorik, snoka efter en pågående process, rycka IP-adress och nätverksanslutningsinformation, etc. Förutom dessa kan den också användas för att utföra fjärrkommandon på målsystem.

Ransomware-aktörer använder också DTrack för att installera sina nyttolaster och kryptera målets system. Väl, det maskerar sig ofta med legitima filnamn i den komprometterade enheten innan du packar upp i flera steg och installerar sig själv direkt i systemminnet.

Forskare noterade att DTracks nya version skulle sitta i den komprometterade enheten som “processen och spridas genom stulna referenser eller utnyttja internet-exponerade servrar.

Tja, den nya versionen sägs vara något annorlunda (gör den bättre) jämfört med den gamla – med den senaste som använder API-hashning för att ladda bibliotek och funktioner istället för obfuskerade strängar. Detta reducerade effektivt antalet C2-servrar till bara tre, vilket är hälften av vad det har tidigare varianter begagnad.