Kaspersky, Hindistan’ı hedefleyen bankacılık kötü amaçlı yazılımlarına yönelik yaptığı bir araştırmada, Kuzey Kore’ye bağlı Lazarus grubunun kullandığı yeni bir uzaktan erişim Trojanı (RAT) keşfetti.
Dtrack olarak adlandırılan Truva atı, bir zamanlar ATM’lere yerleştirilen, ödeme kartlarındaki verileri okuyabilen ve saklayabilen bir kötü amaçlı yazılım parçası olan ATMDtrack’ın analizi sırasında keşfedildi. Soruşturmaları sırasında Kaspersky’nin güvenlik araştırmacıları 180’den fazla Dtrack örneği buldular.
Başlangıçta yük (payload), şifrelenmiştir. Son yükün şifresini çözdükten sonra Kaspersky , Lazarus grubuna atfedilen 2013 DarkSeoul kampanyasıyla benzerlikler buldu .
Kaspersky açıklamasında “Hindistan’daki finans sektörüne ve araştırma merkezlerine saldırmak için eski kodlarının bir kısmını yeniden kullandıkları görülüyor. Tespitlerimize göre, DTrack’ın son etkinliği Eylül 2019’un başında tespit edildi, ” dedi.
Araştırmacıların kötü amaçlı yazılımları analiz ederken keşfettikleri arasında bulunanlar, ekstra çalıştırılabilir, işlemsel bir kabuk kodu ve kötü amaçlı yazılımın gelecekteki bir işlem adı olarak kullandığı önceden tanımlanmış çalıştırılabilir adların bir listesini içerir.
Yüklerin hepsi kurbanı izlemek isteyen birden fazla çalıştırılabilir dosya içeriyor. Bulunan çeşitli Dtrack yükü çalıştırılabilir dosyaları, keyloger, tarayıcı geçmişini alma, ana bilgisayar IP adreslerini toplama, kullanılabilir ağlar ve etkin bağlantılar hakkında bilgiler, çalışan tüm işlemleri listeleme ve mevcut tüm disk birimlerindeki tüm dosyaları listeleme gibi işlevleri içerir.
Yürütülebilir dosyalardan bazıları, toplanan verileri parola korumalı bir arşive paketlemek ve diske kaydetmek için tasarlanmıştır; diğerleri ise verileri doğrudan komut ve kontrol (C&C) sunucusuna gönderir.
Yüklerin içerdiği RAT, dosyaları indirebilir / yükleyebilir, hedef dosyalar için kalıcılık sağlayabilir, disk hacimlerini veya klasörlerini dökebilir ve suçlular tarafından kontrol edilen bir ana bilgisayara yükleyebilir, yeni komut kontrolleri arasında bir aralık zaman aşımı değeri ayarlayabilir.
Kaspersky, ATMDtrack kötü amaçlı yazılımının Dtrack ailesinin bir parçası olduğunu belirtiyor. Her iki proje de aynı yazarın eseridir, çünkü aynı stili paylaşırlar ve aynı şekilde uygulanan işlevleri kullanırlar.
“Artık Lazarus grubunun cephaneliğine bir aile daha ekleyebiliriz: ATMDtrack ve Dtrack. Bulabildiğimiz çok sayıda Dtrack örneği, Lazarus grubunun kötü amaçlı yazılım geliştirme açısından en aktif APT gruplarından biri olduğunu gösteriyor. Kötü amaçlı yazılımları hızla geliştirmeye ve operasyonlarını genişletmeye devam ediyorlar.”