Dalai
„Lazarus“ įsilaužimų grupė yra viena žinomiausių APT (Advanced Persistent Threat) visame pasaulyje. Grupė atvyksta iš Šiaurės Korėjos ir tikėtina, kad Šiaurės Korėjos vyriausybė jas remia vykdydama išpuolius, kurie sustiprintų jų interesus visame pasaulyje. „Lazarus“ įsilaužimų grupė vėl grįžta į naujienas su nauja grėsme, nukreipta į „Linux“ serverius, ypač „Atlassian“ santakos serverius. Norėdami tai padaryti, grėsmė pasinaudoja CVE-2019-3396 RCE išnaudojimu.
Turinys
Pirmasis „Lazarus“ grupės grasinimas, skirtas „Linux“ sistemoms
Ši nauja kenkėjiškų programų padermė vadinama „Dacls“ ir tai yra nuotolinės prieigos trojanas (RAT). Reikėtų pažymėti, kad „Dacls RAT“ yra pirmoji grėsmė, kurią sukūrė „Lazarus“ įsilaužimų grupė, nukreipta į „Linux“ įrenginius - iki šios grėsmės APT turėjo tik tas sistemas, kuriose veikia „Windows OS“ ir „OSX“. Tačiau „Dacls Trojan“ taip pat sugeba išlaikyti ne tik „Linux“ sistemas, bet ir „Windows“ įrenginius. „Dacls RAT“ yra sukurta taip, kad paveiktų konkrečias Atlassian santakos serverio versijas - prieš 6.612 variantą, prieš 6.7.0 variantą prieš 6.12.3, prieš 6.13.10 variantą prieš 6.13.3 ir prieš 6.14.0 variantą prieš 6.14. .2 versija.
„Dacls RAT Linux“ ir „Windows“ versijos veikia skirtingai
Tyrinėdami „Dacls Trojan“, kenkėjiškų programų tyrėjai greitai suprato, kad ši grėsmė priklauso įsilaužėlių grupei „Lazarus“. Tai tapo akivaizdu, nes atrodo, kad „Dacls RAT“ naudoja tą patį atsisiuntimo serverį kaip ir kitos grėsmės, kurias sukūrė „Lazarus APT“. „Dacls Trojan“ veikia skirtingai, atsižvelgiant į tai, ar jis skirtas „Windows“, ar „Linux“ sistemai. „Linux“ „Dacls RAT“ versijoje yra visi komponentai, sukurti „Windows“ versijoje, o šio „Trojan“ „Windows“ variantas iš nuotolinio serverio atsisiunčia išpuoliui reikalingus papildinius. Kai grėsmė susisiekia su užpuolikų C&C („Command & Control“) serveriu, ji taiko RC4 ir TLC šifravimą. Norėdami užšifruoti savo konfigūracijos failus, „Dacls RAT“ naudotų AES šifravimo algoritmą.
Pajėgumai
„Dacls Trojan“ gali:
- C2 komandų gavimas.
- Vykdo C2 komandas.
- Tinklo ryšio bandymas.
- Duomenų gavimas iš C&C serverio.
- Nuskaitymo tinklas prie 8291 prievado.
„Lozoriaus“ įsilaužimo grupė nėra aktorius, kurio galima atleisti iš darbo ar nepastebėti. Jie sugeba sukurti labai stiprias ir labai ginkluotas grėsmes, galinčias padaryti didelę žalą savo taikiniams. Įdomu ir nerimą kelia tai, kad grupė „Lazarus“ nusprendė išplėsti savo galimybes ir pradėti taikytis prie „Linux“ sistemų.
