DTrack: prethodno nepoznat alat za špijunažu grupe Lazarus pogađa finansijske institucije i istraživačke centre

Kaspersky

GReAT tim kompanije Kaspersky otkrio je prethodno nepoznat alat za špijunažu, koji je uočen u finansijskim institucijama i istraživačkim centrima u Indiji. Nazvan Dtrack, ovaj spajver (spyware) je navodno stvoren od strane grupe Lazarus i koristi se za preuzimanje i otpremanje fajlova na sisteme žrtve, snimanje ključnih poteza i preduzimanje akcija tipičnih za zlonamerne alate za daljinsko upravljanje (RAT).

Istraživači kompanije Kaspersky prošle godine su otkrili ATMDtrack – malver kreiran da se infiltrira u indijske bankomate i krade korisničke podatke sa kartica. Daljom istragom koristeći Kaspersky Attribution Engine i druge alate, istraživači su otkrili više od 180 novih primeraka malvera koji su imali slične sekvence kodova kao ATMDtrack – ali istovremeno nisu bili usmereni na bankomate. Umesto toga, njihova lista funkcija ih je definisala kao alate za špijuniranje – sada poznate kao Dtrack. Pored toga, ne samo da ovi alati međusobno imaju puno sličnosti, već su slični kampanji DarkSeoul iz 2013 koja je pripisana platformi Lazarus – zloglasnom naprednom akteru pretnje koji je odgovoran za brojne operacije sajber špijunaže i sajber sabotaže.

Dtrack može biti korišćen kao alat za daljinsko upravljanje (RAT), davajući akterima pretnji potpunu kontrolu na inficiranim uređajima. Kriminalci onda mogu izvoditi različite operacije, poput otpremanja i preuzimanja fajlova i vršenja ključnih procesa.

Entiteti ciljani od strane aktera pretnji koristeći Dtrack RAT često imaju lošu bezbednost mreže i standarde šifri, dok istovremeno ne uspevaju da prate saobraćaj kroz organizaciju. Ako se uspešno implementira, spajver je u mogućnosti da napravi listu svih dostupnih fajlova i procesa, evidentira ključeve, istoriju pretraživanja i IP adrese hostova – uključujući informacije o dostupnim mrežama i aktivnim konekcijama.

Novootkriveni malver je aktivan i sudeći po telemetriji kompanije Kaspersky i dalje se koristi u sajber napadima.

„Lazarus je prilično neuobičajena državno sponzorisana grupa. Sa jedne strane, kao što to rade i mnoge druge slične grupe, fokusira se na preduzimanje operacija sajber špijunaže i sajber sabotaže. Ali sa druge strane, otkriveno je da je uticala na napade koji su očigledno bili usmereni na krađu novca. Ovo je veoma jedinstveno i neuobičajeno za aktere pretnji tako visokog profila jer generalno, drugi akteri nemaju finansijske motive za svoje operacije. Veliki broj Dtrack uzoraka koje smo ponašli demonstriraju kako je Lazarus jedna od najaktivnijih APT grupa, konstantno razvija pretnje u težnji da utiče na velike industrije. Njihovo uspešno sprovođenje Dtrack RAT dokazuje da čak i kada se čini da je velika pretnja nestala, ona može biti oživljena u drugačijem ruhu da napada nove ciljeve. Čak i ako ste istraživački centar, ili finansijska organizacija koja dejstvuje isključivo u komercijalnom sektoru bez povezanosti sa vladom, treba da razmotrite mogućnost da ćete biti napadnuti od strane sofisticiranog aktera pretnje i pripremite se u skladu sa tim”, izjavio je Konstantin Zikov (Konstantin Zykov) istraživač bezbednosti u GReAT timu kompanije Kaspersky.

Proizvodi kompanije Kaspersky uspešno otkrivaju i blokiraju Dtrack malver.

Kako ne biste bili pogeđeni malverom poput Dtrack RAT, kompanija Kaspersky preporučuje:

·        Korišćenje softvera za praćenje saobraćaja – poput Kaspersky Anti Targeted Attack Platform (KATA)

·        Usvajanje dokazanih bezbednosnih rešenja opremljenih tehnologijama za detekciju baziranih na ponašanju, poput Kaspersky Endpoint Security for Business

·        Izvršavanje redovnih bezbednosnih provera IT infrastrukture organizacije

·        Sprovođenje redovnih bezbednosnih obuka za osoblje