DACLer

Lazarus-hacking-gruppen er en av de mest beryktede APT-ene (Advanced Persistent Threat) over hele verden. Gruppen kommer fra Nord-Korea, og det er sannsynlig at de blir sponset av den nordkoreanske regjeringen for å utføre angrep som vil fremme deres interesser globalt. Lazarus-hacking-gruppen er tilbake i nyhetene med en ny trussel som er rettet mot Linux-servere, spesielt Atlassianske samløpsservere. For å gjøre dette utnytter trusselen seg av utnyttelsen av CVE-2019-3396.

Den første trusselen fra Lazarus Group som er målrettet mot Linux-systemer

Denne nye skadelige stammen kalles Dacls, og den er en ekstern tilgang Trojan (RAT). Det som bør bemerkes er at Dacls RAT er den første trusselen utviklet av Lazarus-hacking-gruppen som er målrettet mot Linux-enheter - før denne trusselen hadde APT bare målrettede systemer som kjører Windows OS og OSX. Imidlertid er Dacls Trojan også i stand til å gå etter ikke bare Linux-systemer, men Windows-enheter også. Dacls RAT er designet for å påvirke spesifikke Atlassianske sammenflytningsserverversjoner - før variant 6.612, før variant 6.7.0 før 6.12.3, før variant 6.13.10 før 6.13.3, og før variant 6.14.0 før 6.14 .2 versjon.

Dacls RAT Linux- og Windows-versjonene fungerer forskjellig

Da de studerte Dacls Trojan, fant malware-forskere raskt ut at denne trusselen tilhører Lazarus-hacking-gruppen. Dette ble tydelig fordi Dacls RAT ser ut til å bruke den samme nedlastingsserveren som andre trusler som ble designet av Lazarus APT. Dacls Trojan fungerer annerledes, avhengig av om den er målrettet mot et Windows eller et Linux-system. Linux-versjonen av Dacls RAT har alle plugin-modulene innebygd i komponenten, mens Windows-varianten av denne Trojan laster ned plugin-modulene som trengs for angrepet fra en ekstern server. Når trusselen kommuniserer med angripernes C & C (Command & Control) server, bruker den RC4 og TLC-kryptering. For å kryptere konfigurasjonsfilene vil Dacls RAT bruke AES-krypteringsalgoritmen.

Capabilities

Dacls Trojan er i stand til:

  • Motta C2-kommandoer.
  • Utfører C2-kommandoer.
  • Tester nettverkets tilkobling.
  • Henter data fra C & C-serveren.
  • Skannernettverk på port 8291.

Lazarus-hacking-gruppen er ikke en skuespiller som kan avskjediges eller overses. De er i stand til å bygge veldig potente og sterkt våpnede trusler som kan forårsake store skader på deres mål. Det er interessant og bekymringsfullt at Lazarus-gruppen har bestemt seg for å utvide rekkevidden og begynne å målrette Linux-systemer.

Trender

Mest sett

Laster inn...