I ricercatori di ESET hanno scoperto uno dei payload del downloader Wslink che avevano scoperto nel 2021. Questo payload è stato chiamato WinorDLL64 in base al nome del suo file WinorDLL64.dll. Wslink, che aveva il nome di file WinorLoaderDLL64.dll, è un caricatore per i binari di Windows che, a differenza di altri caricatori simili, funziona come server ed esegue i moduli ricevuti in memoria. Come suggerisce il termine “loader”, un caricatore serve come strumento per caricare un payload, o il malware vero e proprio, su un sistema già compromesso. Il vettore iniziale di compromissione di Wslink non è stato identificato.
Il payload Wslink, inizialmente sconosciuto, è stato caricato su VirusTotal dalla Corea del Sud poco dopo la pubblicazione del nostro blog post e ha colpito una delle nostre regole YARA basate sul nome univoco di Wslink, WinorDLL64. Riguardo a Wslink, la telemetria di ESET ha registrato solo poche rilevazioni, in Europa centrale, Nord America e Medio Oriente.
Il payload WinorDLL64 funge da backdoor che acquisisce principalmente informazioni estese sul sistema, fornisce mezzi per la manipolazione dei file, come l’asportazione, sovrascrittura e rimozione di file, ed esegue comandi aggiuntivi. Interessante è che comunica su una connessione che è stata già stabilita dal caricatore Wslink.
Nel 2021, non abbiamo trovato dati che suggeriscano che Wslink sia uno strumento di un noto attore minaccia. Tuttavia, dopo un’analisi approfondita del payload, abbiamo attribuito WinorDLL64 al gruppo Lazarus APT con bassa confidenza in base alla regione target e all’overlap nel comportamento e nel codice con i campioni Lazarus noti.
Attivo almeno dal 2009, questo famigerato gruppo allineato alla Corea del Nord è responsabile di incidenti di alto profilo come l’hack di Sony Pictures Entertainment e cyber-reati di decine di milioni di dollari nel 2016, la diffusione di WannaCryptor (aka WannaCry) nel 2017 e una lunga storia di attacchi disruptivi contro la pubblica amministrazione e le infrastrutture critiche sudcoreane dal 2011. Il gruppo è chiamato HIDDEN COBRA da US-CERT e dal FBI.
Sulla base della nostra vasta conoscenza delle attività e delle operazioni di questo gruppo, crediamo che Lazarus sia composto da un grande team che è sistematicamente organizzato, ben preparato e composto da diversi sottogruppi che utilizzano un vasto set di strumenti. L’anno scorso, abbiamo scoperto uno strumento Lazarus che sfruttava la vulnerabilità CVE-2021-21551 per colpire un dipendente di un’azienda aerospaziale nei Paesi Bassi e un giornalista politico in Belgio. È stato il primo abuso registrato della vulnerabilità; in combinazione, lo strumento e la vulnerabilità hanno portato all’incidente informatico.
Dopo l’incidente, il team di sviluppo del software ha subito preso provvedimenti per risolvere la vulnerabilità e aggiornare il sistema di sicurezza del software. Inoltre, il team ha implementato nuove procedure di sicurezza e migliorato la formazione dei dipendenti per prevenire futuri abusi.
L’incidente è stato anche segnalato alle autorità competenti per le indagini e per valutare eventuali azioni legali contro il responsabile dell’abuso.
Questo incidente sottolinea l’importanza della sicurezza informatica e della necessità di proteggere le vulnerabilità del software. Anche se il software è stato sviluppato con la massima attenzione, le vulnerabilità possono sempre essere presenti e devono essere costantemente monitorate e corrette. Inoltre, la formazione dei dipendenti è essenziale per garantire che siano consapevoli dei rischi della sicurezza informatica e sappiano come proteggere il sistema.
In sintesi, la gestione delle vulnerabilità del software è un elemento fondamentale per la sicurezza informatica e deve essere una priorità per tutte le organizzazioni che utilizzano il software per le loro attività.
