Новый шпионский инструмент кибергруппировки Lazarus

По сообщению «Лаборатории Касперского», в сетях индийских финансовых организаций и исследовательских центров обнаружено ранее неизвестное шпионское ПО, созданное кибергруппировкой Lazarus. Инструмент удаленного администрирования получил название Dtrack: с его помощью злоумышленники полностью контролируют зараженное устройство, загружают и выгружают файлы, записывают нажатие клавиш клавиатуры, читают историю браузера и совершают другие вредоносные действия. Как подчеркивают в «Лаборатории Касперского», компании, которые становятся жертвами Dtrack, как правило, плохо защищены: они используют слабые политики сетевой безопасности и пароли, не мониторят трафик.

Изучение Dtrack в «Лаборатории Касперского» началось в 2018 г., когда эксперты компании обнаружили ATMDtrack – вредоносное ПО, внедряемое в индийские банкоматы с целью кражи данных банковских карт. В ходе дальнейшего расследования, во время которого использовалась система атрибуции Kaspersky Attribution Engine, было обнаружено более 180 новых вредоносных образцов с последовательностями кодов, схожими с ATMDtrack, но не нацеленными на банкоматы, а работающими как программы-шпионы. Сейчас они известны как Dtrack. Эти инструменты были похожи не только между собой, но и с инструментами, использовавшимися во время кампании DarkSeoul в 2013 г.

В настоящее время Dtrack активно ведет свою деятельность и продолжает использоваться для проведения кибератак. Как отмечают эксперты, Lazarus – довольно необычная кибергруппировка. Основным видом ее деятельности является кибершпионаж, но она замечена и в проведении атак, нацеленных непосредственно на кражу денег. Огромное количество найденных образцов Dtrack говорит о том, что Lazarus – один из самых активных разработчиков вредоносного ПО среди APT-группировок.