DACL
Il gruppo di hacking Lazarus è uno dei più noti APT (Advanced Persistent Threat) in tutto il mondo. Il gruppo proviene dalla Corea del Nord ed è probabile che siano sponsorizzati dal governo nordcoreano per realizzare attacchi che promuovano i loro interessi a livello globale. Il gruppo di hacker di Lazarus è tornato nelle notizie con una nuova minaccia che prende di mira i server Linux, in particolare i server di confluenza dell'Atlantico. Per fare ciò, la minaccia sfrutta l'exploit RCE CVE-2019-3396.
Sommario
La prima minaccia del gruppo Lazarus che prende di mira i sistemi Linux
Questa nuova varietà di malware si chiama Dacls ed è un Trojan di accesso remoto (RAT). Ciò che va notato è che il Dacls RAT è la prima minaccia sviluppata dal gruppo di hacking Lazarus che prende di mira i dispositivi Linux - prima di questa minaccia, l'APT aveva preso di mira solo i sistemi che eseguono il sistema operativo Windows e OSX. Tuttavia, Dacls Trojan è anche in grado di seguire non solo i sistemi Linux ma anche i dispositivi Windows. Il Dacls RAT è progettato per influire sulle specifiche versioni del server di confluenza atlantica - prima della variante 6.612, prima della variante 6.7.0 prima del 6.12.3, prima della variante 6.13.10 prima della 6.13.3 e prima della variante 6.14.0 prima della 6.14 Versione .2.
Le versioni Dacls RAT Linux e Windows funzionano in modo diverso
Studiando il Dacls Trojan, i ricercatori di malware hanno rapidamente capito che questa minaccia appartiene al gruppo di hacker di Lazarus. Ciò è diventato evidente perché DATR RAT sembra utilizzare lo stesso server di download delle altre minacce progettate dall'APT di Lazarus. Il Trojan Dacls funziona in modo diverso a seconda che si tratti di un sistema Windows o Linux. La versione Linux di Dacls RAT ha tutti i plug-in integrati nel componente, mentre la variante Windows di questo Trojan scarica i plug-in necessari per l'attacco da un server remoto. Quando la minaccia comunica con il server C&C (Command & Control) degli aggressori, applica la crittografia RC4 e TLC. Per crittografare i suoi file di configurazione, Dacls RAT utilizza l'algoritmo di crittografia AES.
funzionalità
Il Dacls Trojan è in grado di:
- Ricezione di comandi C2.
- Esecuzione dei comandi C2.
- Test della connettività di rete.
- Recupero dati dal server C&C.
- Rete di scansione sulla porta 8291.
Il gruppo di hacker di Lazarus non è un attore che può essere respinto o trascurato. Sono in grado di creare minacce molto potenti e altamente armate in grado di causare gravi danni ai loro bersagli. È interessante e preoccupante che il gruppo Lazarus abbia deciso di ampliare la propria portata e iniziare a prendere di mira i sistemi Linux.
