Usean laitteen lisenssit (määräalennukset)
Threat Database Mac Malware Harkinnanvaraiset

Harkinnanvaraiset

Vuonna GoldSparrow vuonna Mac Malware, Remote Administration Tools
Käännä:
Suomi

Lazaruksen hakkerointiryhmä on yksi maailman tunnetuimmista APT: stä (Advanced Persistent Threat). Ryhmä on kotoisin Pohjois-Koreasta, ja on todennäköistä, että Pohjois-Korean hallitus tukee heitä hyökkäyksissä, jotka edistävät heidän etujaan maailmanlaajuisesti. Lazaruksen hakkerointiryhmä on palannut uutisiin uralla, joka kohdistuu Linux-palvelimiin, etenkin Atlassian-yhdistämispalvelimiin. Tätä varten uhka hyödyntää CVE-2019-3396 RCE -hyötyä.

Lazarus-ryhmän ensimmäinen uhka, joka kohdistuu Linux-järjestelmiin

Tätä uutta haittaohjelmakantaa kutsutaan Daclsiksi, ja se on etäkäyttö Troijalainen (RAT). Huomattakoon, että Dacls RAT on ensimmäinen Lazarus-hakkerointiryhmän kehittämä uhka, joka kohdistuu Linux-laitteisiin - ennen tätä uhkia APT oli kohdistanut vain järjestelmiä, joissa oli Windows OS ja OSX. Dacls-troijalainen pystyy kuitenkin toimimaan myös Linux-järjestelmien ja Windows-laitteiden jälkeen. Dacls RAT on suunniteltu vaikuttamaan tiettyihin Atlassian yhdistämispalvelinversioihin - ennen varianttia 6.612, ennen varianttia 6.7.0 ennen 6.12.3, ennen varianttia 6.13.10 ennen 6.13.3 ja ennen varianttia 6.14.0 ennen 6.14. .2-versio.

Dacls RAT Linux ja Windows -versiot toimivat eri tavalla

Tutkiessaan Dacls-troijalaista haittaohjelmatutkijat selvisivät nopeasti, että tämä uhka kuuluu Lazaruksen hakkerointiryhmään. Tämä tuli ilmeiseksi, koska Dacls RAT näyttää käyttävän samaa latauspalvelinta kuin muut Lazarus APT: n suunnittelemat uhat. Dacls-troijalainen toimii eri tavalla riippuen siitä, onko se kohdistettu Windows- tai Linux-järjestelmään. Dacls RAT -sovelluksen Linux-versiossa on kaikki komponentit rakennettu, kun taas troijalaisen Windows-versio lataa hyökkäykseen tarvittavat laajennukset etäpalvelimelta. Kun uhka on yhteydessä hyökkääjien C&C (Command & Control) -palvelimeen, se käyttää RC4- ja TLC-salausta. Dacls RAT käyttäisi AES-salausalgoritmia salaamaan sen asetustiedostot.

kyvyt

Dacls-troijalainen pystyy:

  • C2-komentojen vastaanottaminen.
  • Suoritetaan C2-komentoja.
  • Verkkoyhteyden testaaminen.
  • Tietojen nouto C&C-palvelimelta.
  • Skannausverkko portissa 8291.

Lazaruksen hakkerointiryhmä ei ole näyttelijä, joka voidaan erottaa tai jättää huomiotta. He kykenevät rakentamaan erittäin voimakkaita ja erittäin aseistettuja uhkia, jotka voivat aiheuttaa suurta vahinkoa kohteilleen. On mielenkiintoista ja huolestuttavaa, että Lazarus-ryhmä on päättänyt laajentaa kattavuuttaan ja aloittaa kohdistamisen Linux-järjestelmiin.

Trendaavat

Eniten katsottu

Ladataan...