Hackers die banden hebben met de Noord-Koreaanse overheid hebben een nieuw type malware ontwikkeld dat is gebruikt om gegevens op te slaan en te stelen die op kaarten van Indiase geldautomaten zijn geplaatst.
Kaspersky Lab-onderzoekers zeiden in een gisteren uitgebracht rapport dat bankmalware, bekend als ATMDTrack, sinds de late zomer actief is in het land.
Het netwerkbeveiligingsbedrijf in Moskou voerde verdere analyses uit van de malwaremonsters en ontdekte dat ze deel uitmaakten van een grotere Trojan voor externe toegang (RAT), genaamd DTrack.
Experts zeggen dat dit een spionagetool is die Indiase financiële instellingen en onderzoekscentra aanvalt, en zeggen dat de malware “overeenkomsten vertoont met de activiteiten van DarkSeoul, die teruggaan tot 2013, dankzij de Lazarus Group.”
De onderzoekers zeiden dat de DTrack RAT pas deze maand voor het eerst werd ontdekt.
De DarkSeoul-aanval is gericht op de spraakmakende faciliteiten van Korea, waaronder de verwijdering van verschillende harde schijven van banken, televisiezenders en verschillende financiële bedrijven in 2013.
Het evenement werd uiteindelijk beschouwd als het werk van de Lazarus Group, de toonaangevende cryptocurrency-hackergroep die bekend staat om zijn relatie met de Noord-Koreaanse regering.
De organisatie was vorige week berucht vanwege haar beruchte aanvallen op kritieke infrastructuur en het overhevelen van bedrijven die de wapen- en raketprogramma's van het land financierden, en stond op de top van de Amerikaanse sanctielijsten.
Verzamel sleutellogboeken en browsergeschiedenis De bedreigingsacteur achter DTrack verwart zijn kwaadaardige code in een onschadelijk uitvoerbaar bestand dat wordt beschermd achter de encryptiebarrière van de dropper die wordt gebruikt om de malware te installeren.
De malware vermomt zich niet alleen als een onschadelijk proces, maar kan ook vele bewerkingen uitvoeren:
- Keylogger
- Browsergeschiedenis ophalen
- Verzamel host-IP-adressen, informatie over beschikbare netwerken en actieve verbindingen
- Maak een lijst van alle actieve processen
- Maak een lijst van alle bestanden op alle beschikbare schijfvolumes
De verzamelde gegevens worden vervolgens gearchiveerd als een met een wachtwoord beveiligd bestand dat op schijf kan worden opgeslagen of naar de command and control-server kan worden verzonden.
Onderzoekers hebben ATMDTrack geclassificeerd als een subset van de DTrack-familie en zeggen dat de ontwikkelaars achter de twee malware ‘dezelfde groep’ zijn.
Gezien de complexiteit van de werkwijze wordt aanbevolen dat de doelorganisatie haar netwerk- en wachtwoordbeleid versterkt en het netwerkverkeer monitort op verdacht gedrag.
Kaspersky concludeerde: “Het grote aantal DTrack-voorbeelden dat we kunnen vinden geeft aan dat de Lazarus-groep een van de meest actieve APT-groepen is voor de ontwikkeling van malware.” “En opnieuw zagen we dat het team vergelijkbare tools gebruikte voor economisch gemotiveerde aanvallen en pure spionageaanvallen