朝鲜黑客利用更新的DTrack后门攻击欧洲和拉丁美洲

针对德国、巴西、印度、意大利、墨西哥、瑞士、沙特阿拉伯、土耳其和美国。

卡巴斯基研究人员康斯坦丁·齐科夫（Konstantin Zykov）和乔伦特·范德维尔（Jornt van der Wiel）在一份报告中表示：“Dtrack允许犯罪分子上传、下载、启动或删除受害者主机上的文件”。

受害者模式表明，受害者向欧洲和拉丁美洲扩展。被恶意软件攻击的行业包括教育、化学制造、政府研究中心和政策研究所、IT服务提供商、公用事业提供商和电信公司。

Dtrack，也被称为Valefor和Preft，是Andariel的杰作，Andariel是拉撒路民族国家威胁行为体的一个小组，由更广泛的网络安全社区使用特洛伊行动、沉默的Chollima和石蝇来公开追踪。

该恶意软件于2019年9月被发现，此前曾被部署在针对印度一座核电站的网络攻击中，最近的入侵使用Dtrack作为Maui勒索软件攻击的一部分。

工业网络安全公司Dragos此后将核设施攻击归咎于一个被称为WASSONITE的威胁行为体，并指出使用Dtrack远程访问受损网络。

卡巴斯基观察到的最新变化涉及植入物如何隐藏其在看似合法的程序（“NvContainer.exe”或“XColorHexagonCtrlTest.exe”）中的存在，以及使用了三层加密和模糊处理，旨在增加分析难度。

解密后，最终的有效载荷随后使用一种称为进程中空的技术注入Windows文件资源管理器进程（“Explorer.exe”）。在通过Dtrack下载的模块中，主要是一个键盘记录器以及用于捕获屏幕截图和收集系统信息的工具。

研究人员总结道：“Lazarus集团继续积极使用Dtrack后门”。“恶意软件包装方式的修改表明，Lazarus仍然将Dtrack视为重要资产”。