Wslink 下载器可能与北朝鲜的拉撒路小组相关 媒体

发现与朝鲜黑客集团相关的新型恶意软件

关键要点

在最近的报告中，研究人员披露了与 Wslink 下载器 相关的一个有效载荷，虽以“低信心”表明它可能与臭名昭著的2014年索尼黑客事件相关的朝鲜赞助的 Lazarus Group 有关。

在2月23日的 博客文章，ESET 研究人员将该有效载荷命名为 WinorDLL64，基于其文件名 WinorDLL64dll。这个有效载荷与 多个 Lazarus 样本 在开发环境、行为和代码方面存在重叠。

除了索尼黑客事件外，Lazarus 还负责在 2016年的网络劫案 中窃取数千万美元，并引发了2017年的 WannaCry 疫情，对 韩国公共和关键基础设施 进行了多次干扰性攻击。美国网络安全和基础设施安全局及 FBI 将该组织称为 Hidden Cobra。

ESET 的遥测数据显示，仅在中欧、北美和中东地区对 Wslink 有少量检测记录。

研究人员表示，这一发现意义重大，因为 Wslink 的有效载荷能实现文件操作、执行进一步的代码并获取丰富的系统信息，可能用于横向移动。Wslink 加载器在配置中指定的端口上监听，可以为额外的连接客户端提供服务，甚至加载多种有效载荷。

WinorDLL64 作为后门，尤其能够获取大量系统信息，提供文件操作的手段，还能执行附加命令。它通过已建立的 TCP 连接进行通信，利用加载器的一些功能。ESET 研究人员对它是 Wslink 的判断“信心很高”，因为它的独特结构在预期的方式中无处不在：TLS 上下文和其他重要参数按照预期的顺序传递给正确的回调函数。

是 Lazarus 还是模仿者？

Tanium 的端点安全研究专家 James Lively 解释称，这种一般威胁显示出 APT 的特征，通常具有外科手术般的精确性，因多种原因追求其目标。Lively 表示，诸如 Lazarus Group 的犯罪集团主要追求财务利益或政治目标，并补充道，检测 WinorDLL64 后门极其困难，因为它可以仅在内存中操作。

Lively 补充说，要监控内存以至于能够检测此类后门，需要大量资源，且通常不切实际。

“安全团队应对容易受到攻击的服务和软件进行广泛的修补，以减少恶意行为者渗入网络的途径，”Lively 说道。此外，他们应推行反钓鱼活动和培训，提升用户的识别和报告恶意邮件及链接的意识。

Coalfire 的副总裁 Andrew Barratt 表示，ESET 拥有高度