Kuzey Kore hükümetine bağlı bilgisayar korsanlarının, Almanya, Brezilya, Hindistan, İtalya, Meksika, İsviçre, Suudi Arabistan, Türkiye ve ABD’de çok çeşitli endüstrileri hedef alan Dtrack olarak bilinen bir arka kapının güncellenmiş bir sürümünü kullandıkları gözlemlendi.
Kaspersky araştırmacıları Konstantin Zykov ve Jornt van der Wiel bir raporda, “Dtrack, suçluların kurban ana bilgisayardaki dosyaları yüklemesine, indirmesine, başlatmasına veya silmesine izin veriyor” dedi.
Mağduriyet kalıpları, Avrupa ve Latin Amerika’ya doğru bir genişlemeye işaret ediyor. Kötü amaçlı yazılımın hedef aldığı sektörler, eğitim, kimyasal üretim, devlet araştırma merkezleri ve politika enstitüleri, BT hizmet sağlayıcıları, kamu hizmeti sağlayıcıları ve telekomünikasyon firmalarıdır.
Valefor ve Preft olarak da adlandırılan Dtrack, Troy Operasyonu, Silent Chollima ve Stonefly takma adlarını kullanarak daha geniş siber güvenlik topluluğu tarafından alenen izlenen Lazarus ulus-devlet tehdit aktörünün bir alt grubu olan Andariel’in eseridir.
Eylül 2019’da keşfedilen kötü amaçlı yazılım, daha önce Hindistan’daki bir nükleer santrali hedef alan bir siber saldırıda konuşlandırılmıştı ve daha yakın zamanda Maui fidye yazılımı saldırılarının bir parçası olarak Dtrack kullanılarak izinsiz girişler yapılmıştı.
Endüstriyel siber güvenlik şirketi Dragos, nükleer tesis saldırısını WASSONITE adını verdiği bir tehdit aktörüne bağlayarak, ele geçirilen ağa uzaktan erişim için Dtrack kullanımına dikkat çekti.
Kaspersky tarafından gözlemlenen en son değişiklikler, implantın görünüşte meşru bir program (“NvContainer.exe” veya “XColorHexagonCtrlTest.exe”) içindeki varlığını nasıl gizlediği ve analizi daha zor hale getirmek için tasarlanmış üç şifreleme ve şaşırtma katmanının kullanımıyla ilgilidir.
Şifre çözmenin ardından son yük, daha sonra süreç içi boşaltma adı verilen bir teknik kullanılarak Windows Dosya Gezgini işlemine (“explorer.exe”) enjekte edilir. Dtrack aracılığıyla indirilen modüller arasında en önemlisi, bir keylogger’ın yanı sıra ekran görüntülerini yakalamaya ve sistem bilgilerini toplamaya yönelik araçlardır.
Araştırmacılar, “Dtrack arka kapısı, Lazarus grubu tarafından aktif olarak kullanılmaya devam ediyor” dedi. “Kötü amaçlı yazılımın paketlenme biçimindeki değişiklikler, Lazarus’un Dtrack’i hala önemli bir varlık olarak gördüğünü gösteriyor.”