发现与朝鲜黑客集团相关的新型恶意软件

关键要点

• 研究人员发现与2021年首次曝光的 Wslink 下载器相关的有效载荷 WinorDLL64，可能与朝鲜支持的 Lazarus Group 有关。
• 该载荷具备文件操作、代码执行以及获取系统信息的能力。
• Lazarus Group 以其高效的针对性攻击和经济利益的动机而闻名。
• 检测 WinorDLL64 后门非常困难，需监控内存，资源消耗大。

在最近的报告中，研究人员披露了与 相关的一个有效载荷，虽以“低信心”表明它可能与臭名昭著的2014年索尼黑客事件相关的朝鲜赞助的
Lazarus Group 有关。

在2月23日的 ，ESET 研究人员将该有效载荷命名为 WinorDLL64，基于其文件名
WinorDLL64.dll。这个有效载荷与 在开发环境、行为和代码方面存在重叠。

除了索尼黑客事件外，Lazarus 还负责在
中窃取数千万美元，并引发了2017年的
疫情，对
进行了多次干扰性攻击。美国网络安全和基础设施安全局及 FBI 将该组织称为 。

ESET 的遥测数据显示，仅在中欧、北美和中东地区对 Wslink 有少量检测记录。

研究人员表示，这一发现意义重大，因为 Wslink 的有效载荷能实现文件操作、执行进一步的代码并获取丰富的系统信息，可能用于横向移动。Wslink加载器在配置中指定的端口上监听，可以为额外的连接客户端提供服务，甚至加载多种有效载荷。

WinorDLL64 作为后门，尤其能够获取大量系统信息，提供文件操作的手段，还能执行附加命令。它通过已建立的 TCP连接进行通信，利用加载器的一些功能。ESET 研究人员对它是 Wslink 的判断“信心很高”，因为它的独特结构在预期的方式中无处不在：TLS上下文和其他重要参数按照预期的顺序传递给正确的回调函数。

是 Lazarus 还是模仿者？

Tanium 的端点安全研究专家 James Lively 解释称，这种一般威胁显示出 APT的特征，通常具有外科手术般的精确性，因多种原因追求其目标。Lively 表示，诸如
的犯罪集团主要追求财务利益或政治目标，并补充道，检测 WinorDLL64 后门极其困难，因为它可以仅在内存中操作。

Lively 补充说，要监控内存以至于能够检测此类后门，需要大量资源，且通常不切实际。

“安全团队应对容易受到攻击的服务和软件进行广泛的修补，以减少恶意行为者渗入网络的途径，”Lively说道。此外，他们应推行反钓鱼活动和培训，提升用户的识别和报告恶意邮件及链接的意识。

Coalfire 的副总裁 Andrew Barratt 表示，ESET 拥有高度