Het Kaspersky Global Research and Analysis Team heeft een nieuw spionage-instrument ontdekt afkomstig van de Lazarus Groep. Deze zogeheten Dtrack spyware wordt gebruikt voor het up- en downloaden van bestanden naar systemen van slachtoffers, toetsaanslagen op afstand en andere acties kenmerkend voor een kwaadaardige remote administration tool (RAT). Dtrack is nu gesignaleerd bij Indiase financiële instanties en onderzoekscentra.
Dtrack wordt gebruikt als middel om volledige controle te krijgen op computers van slachtoffers. Daarmee kunnen cybercriminelen allerlei administratieve operaties uitvoeren zoals het up- en downloaden van bestanden of vanaf afstand andere administratieve opdrachten geven via toetsaanslagen. Als deze spyware eenmaal succesvol geϊmplementeerd is, krijgen cybercriminelen inzage in bijvoorbeeld de browsergeschiedenis, host-IP-adressen, key-logging en informatie over beschikbare netwerken. Volgens Kaspersky is deze nieuw ontdekte Dtrack nog steeds actief in gebruik bij verschillende cyberaanvallen.
Zwak netwerkbeveiligingsbeleid
Organisaties die doelwit zijn van Dtrack hebben veelal een zwak netwerkbeveiligingsbeleid en slechte wachtwoordnormen. Bovendien hebben deze instanties vaak ook geen volledige inzage in het netwerk- en transactieverkeer.
“Lazarus is een bijzondere groep cybercriminelen die gesponsord wordt door naties. Ze richten zich aan de ene kant op cyberspionage- en sabotagepraktijken. Aan de andere kant blijkt dat ze ook veel invloed hebben op cyberaanvallen gericht op het stelen van geld. Dat laatste is vrij uniek voor een door naties gesponsorde groep cybercriminelen. Het lijkt erop, dat de Lazarus groep zich voortdurend verder ontwikkelt. Inmiddels misschien wel tot de meest actieve groep cybercriminelen ter wereld. Met het doel om verschillende grootscheepse sectoren te beϊnvloeden. Niet langer hebben dus alleen overheidsinstanties te vrezen voor de Lazarus groep. Ook commerciële bedrijven als banken maar ook onderzoekscentra moeten zich voorbereiden op operaties van deze ervaren cybercriminelen”, vertelt Jornt van der Wiel, security-expert bij Kaspersky.
Kaspersky-onderzoekers ontdekten vorig jaar al de ATMDtrack. Deze malware was gemaakt om te infiltreren in Indiase geldautomaten waarmee klantgegevens gestolen werden. Na verder onderzoek vonden de Kaspersky-experts meer dan 180 nieuwe malwaremonsters die overeenkomsten vertonen met ATMDtrack. Tegelijkertijd bleek dat deze malware niet gericht was op geldautomaten. Daarmee werd Dtrack ontdekt als nieuwe spyware voor administratieve processen. Dtrack heeft eveneens kenmerken van de Dark-Seoul campagne uit 2013. Deze actie werd destijds ook toegeschreven aan de Lazarus groep.
