ヨーロッパとラテンアメリカを対象とした DTrack の活動 from securelist.com
security summary
DTrack は、Lazarus グループによって使用されるバックドアです。
DTrack を使用すると、犯罪者は被害者のホストでファイルをアップロード、ダウンロード、開始、または削除できます。
DTrack は、ファイル内のオフセットから読み取るか、PE バイナリ内のリソースから読み取ることによって、ペイロードを取得するという考え方です。
最近の DTrack 亜種の新しい側面の 1 つは、第 3 段階のペイロードが必ずしも最終的なペイロードではないということです。
起動すると、キー (最終的なペイロードを復号化するために使用される) の先頭が検索されます。
キーが見つかると、シェルコードはそれを使用して、キーの後の次の 8 バイトを復号化し、最終的なペイロード サイズとそのエントリ ポイントのオフセットを持つさらに別の構成ブロックを形成します。
コメント