Dacls
A Lazarus hackeléscsoport az egyik leghírhedtebb APT (Advanced Peristent Threat) az egész világon. A csoport Észak-Koreából érkezik, és valószínű, hogy az észak-koreai kormány szponzorálja őket olyan támadások végrehajtására, amelyek globálisan előmozdítják érdekeiket. A Lazarus hackelési csoport visszatért a hírekbe egy új fenyegetéssel, amely a Linux szervereket célozza meg, különös tekintettel az Atlassian összefolyó szerverekre. Ennek érdekében a fenyegetés kihasználja a CVE-2019-3396 RCE kihasználását.
Tartalomjegyzék
A Lazarus csoport első veszélye, amely a Linux rendszereket célozza meg
Ezt az új malware törzset Dacls-nek hívják, és ez egy RAT (Remote Access Trojan). Meg kell jegyezni, hogy a Dacls RAT az első fenyegetés, amelyet a Lazarus hackeléscsoport fejlesztett ki, és amely Linux eszközöket céloz meg - e fenyegetés előtt az APT csak a Windows operációs rendszert és az OSX rendszert futtató rendszereket célozta meg. A Dacls trójai azonban nemcsak a Linux rendszerek, hanem a Windows eszközök után is képes továbblépni. A Dacls RAT-ot úgy tervezték, hogy érintse meg az egyes Atlassian összefolyás-kiszolgáló verziókat - a 6.612 változat előtt, a 6.7.0 változat előtt 6.12.3 előtt, a 6.13.10 változat előtt a 6.13.3 előtt és a 6.14.0 változat előtt a 6.14 előtt .2 verzió.
A Dacls RAT Linux és Windows verziói eltérően működnek
A Dacls trójai tanulmányozása után a rosszindulatú programok kutatói gyorsan rájöttek, hogy ez a fenyegetés a Lazarus hackeléscsoporthoz tartozik. Ez nyilvánvalóvá vált, mivel a Dacls RAT úgy tűnik, hogy ugyanazt a letöltési szervert használja, mint a Lazarus APT által tervezett többi fenyegetés. A Dacls trójai eltérően működik, attól függően, hogy Windows vagy Linux rendszert célozza meg. A Dacls RAT Linux verziója tartalmazza az összes beépülő modult az összetevőben, míg a trójai Windows változata a távoli szerverről tölti le a támadáshoz szükséges plug-ineket. Amikor a fenyegetés kommunikál a támadók C&C (Command & Control) szerverével, akkor RC4 és TLC titkosítást alkalmaz. A konfigurációs fájlok titkosításához a Dacls RAT az AES titkosítási algoritmust használja.
képességek
A Dacls trójai képes:
- C2 parancsok fogadása.
- C2 parancsok végrehajtása.
- A hálózat csatlakoztathatóságának tesztelése.
- Adatok letöltése a C&C szerverről.
- Szkennelési hálózat a 8291-es porton.
A Lazarus hackelési csoport nem olyan szereplő, akit el lehet utasítani vagy figyelmen kívül hagyni. Képesek olyan erőteljes és erősen fegyveres fenyegetéseket kiváltani, amelyek nagy kárt okozhatnak a célpontjaikban. Érdekes és aggasztó, hogy a Lazarus csoport úgy döntött, hogy kibővíti elérhetőségét, és megkezdi a Linux rendszerek célzását.
