ESET ha scoperto la backdoor WinorDLL64, uno dei payload del downloader Wslink. Diversi elementi portano a pensare che lo strumento sia utilizzato dal gruppo APT Lazarus affiliato alla Corea del Nord. Il payload di Wslink è in grado di esfiltrare, sovrascrivere e rimuovere file, eseguire comandi e ottenere ampie informazioni sul sistema di base.
Per Vladislav Hrčka, il ricercatore ESET che ha effettuato la scoperta: «Wslink, il cui nome file è WinorLoaderDLL64.dll, è un loader per i binari di Windows che, a differenza di altri loader di questo tipo, opera come server ed esegue i moduli ricevuti in memoria. Come suggerisce la dicitura, un loader serve come strumento per caricare un payload, o il malware vero e proprio, sul sistema già compromesso. Il payload di Wslink può essere sfruttato in un secondo momento per un movimento laterale, grazie al suo interesse specifico per le sessioni di rete. Il loader Wslink è in attesa su una porta specificata nella configurazione e può servire altri client connessi e persino caricare vari payload».
La backdoor WinorDLL64 contiene sovrapposizioni sia nel comportamento che nel codice con diversi campioni di Lazarus, il che indica che potrebbe essere uno strumento del vasto arsenale di questo gruppo APT.
Il payload Wslink, inizialmente sconosciuto, è stato caricato su VirusTotal dalla Corea del Sud poco dopo la pubblicazione di un post del blog di ESET Research sul loader Wslink. La telemetria di ESET ha rilevato solo pochi casi di loader Wslink in Europa centrale, Nord America e Medio Oriente. I ricercatori di AhnLab hanno confermato le vittime sudcoreane di Wslink nella loro telemetria, il che è un indicatore rilevante, considerando gli obiettivi tradizionali di Lazarus e il fatto che ESET Research ha osservato solo pochi rilevamenti.
Attivo almeno dal 2009, questo famigerato gruppo è responsabile di incidenti di alto profilo come l’hack di Sony Pictures Entertainment, le frodi informatiche da decine di milioni di dollari del 2016, l’epidemia di WannaCryptor (alias WannaCry) del 2017 e una lunga serie di attacchi dirompenti contro le infrastrutture pubbliche e critiche sudcoreane almeno dal 2011. L’US-CERT e l’FBI chiamano questo gruppo HIDDEN COBRA.