DACL'er
Lazarus-hacking-gruppen er en af de mest berygtede APT'er (Advanced Persistent Threat) på verdensplan. Gruppen kommer fra Nordkorea, og det er sandsynligt, at de bliver sponsoreret af den nordkoreanske regering til at gennemføre angreb, der vil fremme deres interesser globalt. Lazarus-hacking-gruppen er tilbage i nyheden med en ny trussel, der er rettet mod Linux-servere, især Atlassianske sammenløbsservere. For at gøre dette drager truslen fordel af udnyttelsen af CVE-2019-3396.
Indholdsfortegnelse
Den første trussel fra Lazarus-gruppen, der er målrettet mod Linux-systemer
Denne nye malware-stamme kaldes Dacls, og det er en Remote Access Trojan (RAT). Hvad der skal bemærkes, er, at Dacls RAT er den første trussel udviklet af Lazarus-hacking-gruppen, der er målrettet mod Linux-enheder - før denne trussel havde APT kun målrettede systemer, der kører Windows OS og OSX. Imidlertid er Dacls Trojan også i stand til at gå efter ikke kun Linux-systemer men også Windows-enheder. Dacls RAT er designet til at påvirke specifikke Atlassianske sammenflytningsserverversioner - inden variant 6.612, før variant 6.7.0 før 6.12.3, før variant 6.13.10 før 6.13.3, og før variant 6.14.0 før 6.14 .2 version.
Dacls RAT Linux- og Windows-versionerne fungerer forskelligt
Da de studerede Dacls Trojan, kom malware-forskere hurtigt ud på, at denne trussel hører til Lazarus-hacking-gruppen. Dette blev tydeligt, fordi Dacls RAT ser ud til at bruge den samme download-server som andre trusler, der blev designet af Lazarus APT. Dacls Trojan fungerer forskelligt afhængigt af om den er målrettet mod et Windows eller et Linux-system. Linux-versionen af Dacls RAT har alle plug-ins indbygget i komponenten, mens Windows-varianten af denne Trojan henter de plug-ins, der er nødvendige til angrebet fra en ekstern server. Når truslen kommunikerer med angriberenes C&C (Command & Control) server, anvender den RC4 og TLC-kryptering. For at kryptere dens konfigurationsfiler bruger Dacls RAT AES-krypteringsalgoritmen.
Capabilities
Dacls Trojan er i stand til:
- Modtagelse af C2-kommandoer.
- Udfører C2-kommandoer.
- Test af netværkets forbindelse.
- Henter data fra C & C-serveren.
- Scanningsnetværk på port 8291.
Lazarus-hacking-gruppen er ikke en skuespiller, der kan afskediges eller overses. De er i stand til at opbygge meget potente og stærkt våbnede trusler, der er i stand til at skade deres mål. Det er interessant og bekymrende, at Lazarus-gruppen har besluttet at udvide deres rækkevidde og begynde at målrette Linux-systemer.
