تشير النتائج الجديدة إلى اكتشاف باب خلفي جديد مرتبط بأداة تنزيل البرامج الضارة التي تحمل الاسم الرمزي Wslink والتي قد تستخدمها مجموعة Lazarus Group سيئة السمعة والمتوافقة مع كوريا الشمالية.
الحمولة، التي يطلق عليها ESET اسم WinorDLL64، عبارة عن غرسة كاملة الوظائف يمكنها إخراج الملفات والكتابة فوقها وحذفها ؛ وتنفيذ أوامر PowerShell ؛ والحصول على معلومات شاملة حول الجهاز الأساسي.
تتضمن ميزاته الأخرى سرد الجلسات النشطة وإنشاء العمليات وإنهائها وتعداد محرك الأقراص وضغط الدليل.
في أكتوبر 2021، وثقت شركة أمن إلكتروني سلوفاكية لأول مرة Wslink، واصفة إياه بأنه محمل برامج ضارة بسيط ورائع قادر على تنفيذ الوحدات المستلمة في الذاكرة.
قال الباحث في ESET فلاديسلاف هريكا: نظرًا للاهتمام الخاص لحمولة Wslink بجلسات الويب، يمكن استخدامها لاحقًا لحركة المرور الجانبية. يستمع مُحمل Wslink إلى المنفذ المحدد في التكوين ويمكنه خدمة عملاء التسليم الآخرين وحتى تحميل حمولات متنوعة.
مع وجود عدد صغير فقط من عمليات الاكتشاف التي لوحظت حتى الآن في وسط أوروبا وأمريكا الشمالية والشرق الأوسط، يقال إن الاختراقات التي تستخدم البرامج الضارة مستهدفة بشكل كبير.
في مارس 2022، قامت ESET بتفصيل استخدام البرامج الضارة لإخفاء الأجهزة الافتراضية متعددة المستويات المتقدمة لتجنب الاكتشاف ومقاومة الهندسة العكسية.
ينبع الرابط إلى Lazarus Group من تداخل السلوك والرمز من الحملات السابقة (عملية GhostSecret و Bankshot) التي نُسبت إلى APT.
يتضمن ذلك أوجه تشابه مع نموذج GhostSecret الذي تم تفصيله بواسطة McAfee في عام 2018، والذي كان يحتوي على مكون تجميع بيانات وزرع يعمل كخدمة، مما يعكس نفس سلوك Wslink.
قالت ESET إنه تم تحميل الحمولة إلى قاعدة بيانات VirusTotal الخاصة بالبرامج الضارة من كوريا الجنوبية، حيث تم العثور على بعض الضحايا، مما يمنح مصداقية لتورط Lazarus.
كشفت النتائج مرة أخرى عن مجموعة واسعة من أدوات القرصنة التي تستخدمها مجموعة Lazarus للتسلل إلى أهدافها.
قال ESET: تهدف حمولة Wslink إلى توفير طريقة لمعالجة الملفات وتنفيذ المزيد من التعليمات البرمجية والحصول على معلومات شاملة حول النظام الأساسي، والتي يمكن استخدامها لاحقًا للحركة الجانبية.