Dacls
Η ομάδα hacking Lazarus είναι μία από τις πιο περίφημες APTs (Advanced Persistent Threat) παγκοσμίως. Η ομάδα προέρχεται από τη Βόρεια Κορέα και είναι πιθανό να χρηματοδοτούνται από τη βορειοκορεατική κυβέρνηση για να πραγματοποιήσουν επιθέσεις που θα προωθήσουν τα συμφέροντά τους σε παγκόσμιο επίπεδο. Η ομάδα hacking του Lazarus είναι πίσω στις ειδήσεις με μια νέα απειλή που απευθύνεται σε διακομιστές Linux, ιδίως στους διακομιστές συρροής Atlassian. Για να γίνει αυτό, η απειλή εκμεταλλεύεται το CVE-2019-3396 RCE.
Πίνακας περιεχομένων
Η πρώτη απειλή από την ομάδα Lazarus που στοχεύει τα συστήματα Linux
Αυτό το νέο στέλεχος κακόβουλου λογισμικού ονομάζεται Dacls και είναι ένας Trojan απομακρυσμένης πρόσβασης (RAT). Αυτό που πρέπει να σημειωθεί είναι ότι το Dacls RAT είναι η πρώτη απειλή που αναπτύχθηκε από την ομάδα hacking Lazarus που στοχεύει συσκευές Linux - πριν από την απειλή αυτή, η APT είχε στοχεύσει μόνο συστήματα που λειτουργούν με Windows OS και OSX. Ωστόσο, το Dacls Trojan είναι επίσης ικανό να πηγαίνει μετά από όχι μόνο τα συστήματα Linux αλλά και τις συσκευές των Windows. Το Dacls RAT έχει σχεδιαστεί για να επηρεάζει συγκεκριμένες εκδόσεις διακομιστών συρροής Atlassian - πριν από την παραλλαγή 6.612, πριν από την παραλλαγή 6.7.0 πριν από το 6.12.3, πριν από την παραλλαγή 6.13.10 πριν από το 6.13.3 και πριν από την παραλλαγή 6.14.0 πριν από τις 6.14 .2 έκδοση.
Το Dacls RAT Linux και οι εκδόσεις των Windows λειτουργούν διαφορετικά
Μελετώντας το Dacls Trojan, οι ερευνητές του κακόβουλου λογισμικού γρήγορα διαπίστωσαν ότι αυτή η απειλή ανήκει στην ομάδα hacking Lazarus. Αυτό έγινε εμφανές επειδή το Dacls RAT φαίνεται να χρησιμοποιεί τον ίδιο διακομιστή λήψης με άλλες απειλές που σχεδιάστηκαν από το Lazarus APT. Το Dacls Trojan λειτουργεί διαφορετικά ανάλογα με το αν στοχεύει σε ένα σύστημα Windows ή Linux. Η έκδοση Linux του Dacls RAT έχει όλα τα plug-ins ενσωματωμένα στο στοιχείο, ενώ η παραλλαγή των Windows αυτού του Trojan κατεβάζει τις προσθήκες που απαιτούνται για την επίθεση από έναν απομακρυσμένο διακομιστή. Όταν η απειλή επικοινωνεί με τον διακομιστή C & C (Command & Control) των εισβολέων, εφαρμόζει κρυπτογράφηση RC4 και TLC. Προκειμένου να κρυπτογραφήσει τα αρχεία ρυθμίσεων, το Dacls RAT θα χρησιμοποιήσει τον αλγόριθμο κρυπτογράφησης AES.
Δυνατότητες
Το Dacls Trojan είναι ικανό:
- Λήψη εντολών C2.
- Εκτελέστε εντολές C2.
- Έλεγχος της σύνδεσης του δικτύου.
- Ανάκτηση δεδομένων από το διακομιστή C & C.
- Σάρωση δικτύου στη θύρα 8291.
Η ομάδα πειρατείας Lazarus δεν είναι ένας ηθοποιός που μπορεί να απολυθεί ή να παραβλεφθεί. Είναι σε θέση να οικοδομήσουν πολύ ισχυρές και εξαιρετικά οπλισμένες απειλές που είναι ικανές να προκαλέσουν μεγάλη ζημιά στους στόχους τους. Είναι ενδιαφέρον και ανησυχητικό το γεγονός ότι ο όμιλος Lazarus αποφάσισε να διευρύνει την εμβέλειά του και να αρχίσει να στοχεύει σε συστήματα Linux.
