Cyberthreat.id – Hacker Korea Utara menggunakan versi baru pintu belakang DTrack untuk menyerang organisasi di Eropa dan Amerika Latin.

DTrack adalah pintu belakang modular yang menampilkan keylogger, tangkapan layar, pengambilan riwayat browser, pengintai proses yang sedang berjalan, penjambret informasi alamat IP dan koneksi jaringan, dan banyak lagi, seperti dilansir Bleeping Computer, Rabu (16/11).

Selain memata-matai, itu juga dapat menjalankan perintah untuk melakukan operasi file, mengambil muatan tambahan, mencuri file dan data, dan menjalankan proses pada perangkat yang disusupi.

Versi malware baru tidak menampilkan banyak fungsi atau perubahan kode dibandingkan dengan sampel yang dianalisis di masa lalu, tetapi sekarang digunakan jauh lebih luas.

Distribusi yang lebih luas

Seperti yang dijelaskan Kaspersky dalam laporan yang diterbitkan hari ini, telemetri mereka menunjukkan aktivitas DTrack di Jerman, Brasil, India, Italia, Meksiko, Swiss, Arab Saudi, Turki, dan Amerika Serikat.

Sektor yang ditargetkan meliputi pusat penelitian pemerintah, lembaga kebijakan, produsen bahan kimia, penyedia layanan TI, penyedia telekomunikasi, penyedia layanan utilitas, dan pendidikan.

Dalam kampanye baru, Kaspersky telah melihat DTrack didistribusikan menggunakan nama file yang umumnya diasosiasikan dengan executable yang sah.

Misalnya, satu sampel yang mereka bagikan didistribusikan dengan nama file 'NvContainer.exe', yang merupakan nama yang sama dengan file NVIDIA yang sah.

Kaspersky memberi tahu BleepingComputer bahwa DTrack terus diinstal dengan menembus jaringan menggunakan kredensial curian atau mengeksploitasi server yang terpapar Internet, seperti yang terlihat pada kampanye sebelumnya.

Saat diluncurkan, malware melewati beberapa langkah dekripsi sebelum muatan terakhirnya dimuat melalui proses pelubangan ke dalam proses "explorer.exe", berjalan langsung dari memori.

Satu-satunya perbedaan dengan varian DTrack sebelumnya adalah sekarang menggunakan API hashing untuk memuat pustaka dan fungsi alih-alih string yang dikaburkan, dan jumlah server C2 telah dipotong setengahnya menjadi hanya tiga.

Beberapa server C2 yang ditemukan oleh Kaspersky adalah “pinkgoat[.]com”, “purewatertokyo[.]com”, “purplebear[.]com”, dan “salmonrabbit[.]com.”

Atribusi DTrack

Kaspersky mengaitkan aktivitas ini dengan kelompok peretasan Lazarus Korea Utara dan mengklaim pelaku ancaman menggunakan DTrack setiap kali mereka melihat potensi keuntungan finansial.

Pada Agustus 2022, peneliti yang sama menghubungkan pintu belakang ke grup peretasan Korea Utara yang dilacak sebagai 'Andariel', yang menyebarkan ransomware Maui di jaringan perusahaan di AS dan Korea Selatan.

Pada Februari 2020, Dragos menghubungkan DTrack dengan kelompok ancaman Korea Utara, 'Wassonite,' yang menyerang fasilitas energi nuklir dan minyak dan gas.