Dacls
Hakerska skupina Lazarus jedan je od najozloglašenijih APT-ova (Advanced Persistent Threat) u svijetu. Grupa potiče iz Sjeverne Koreje, a vjerovatno je da ih sjevernokorejska vlada sponzorira da izvrše napade koji bi unaprijedili njihove interese na globalnoj razini. Lakerska skupina za hakiranje vratila se u vijesti s novom prijetnjom koja cilja Linux poslužitelje, posebice poslužitelje Atlassian confluence. Da bi se to postiglo, prijetnja koristi eksploataciju CVE-2019-3396 RCE.
Sadržaj
Prva prijetnja Lazarus grupe koja cilja Linux sustave
Ovaj novi soj zlonamjernog softvera zove se Dacls, a on je trojanski udaljeni pristup (RAT). Ono što treba napomenuti jest da je Dacls RAT prva prijetnja koju je razvila hakerska grupa Lazarus koja cilja Linux uređaje - prije ove prijetnje APT je imao samo ciljane sustave sa Windows OS i OSX. Međutim, Dacls Trojan također je sposoban za ne samo Linux sustave već i Windows uređaje. Dacls RAT dizajniran je tako da utječe na specifične verzije poslužitelja Atlassian sutoka - prije varijante 6.612, prije varijante 6.7.0 prije 6.12.3, prije varijante 6.13.10 prije 6.13.3, i prije varijante 6.14.0 prije 6.14 .2 verzija.
Dacls RAT Linux i Windows verzije djeluju drugačije
Proučavajući trojanski Dacls Trojan, istraživači zlonamjernog softvera brzo su shvatili da ta prijetnja pripada hakerskoj grupi Lazarus. To je postalo očito jer se čini da Dacls RAT koristi isti poslužitelj za preuzimanje kao i druge prijetnje koje je dizajnirao Lazarus APT. Dacls Trojan djeluje drugačije, ovisno o tome je li ciljao na Windows ili Linux sustav. Linux inačica Dacls RAT-a sadrži sve dodatke ugrađene u komponentu, dok Windows inačica ovog trojanskog softvera preuzima dodatke potrebne za napad s udaljenog poslužitelja. Kad prijetnja komunicira s C&C (Command & Control) poslužiteljem napadača, primjenjuje RC4 i TLC enkripciju. Da bi se šifrirale njegove konfiguracijske datoteke, Dacls RAT bi koristio algoritam AES enkripcije.
sposobnosti
Trojanski Dacls sposoban je za:
- Primanje C2 naredbi.
- Izvođenje C2 naredbi.
- Ispitivanje povezanosti mreže.
- Dohvaćanje podataka s C&C poslužitelja.
- Mreža za skeniranje na priključku 8291.
Hakerska skupina Lazarus nije glumac kojeg se može otpustiti ili previdjeti. Oni su sposobni izgraditi vrlo moćne i vrlo oružane prijetnje koje mogu nanijeti veliku štetu svojim ciljevima. Zanimljivo je i zabrinjavajuće da su grupa Lazarus odlučila proširiti svoj domet i započeti ciljati Linux sustave.
