DACL
De hackgroep van Lazarus is een van de beruchtste APT's (Advanced Persistent Threat) wereldwijd. De groep komt uit Noord-Korea en het is waarschijnlijk dat ze door de Noord-Koreaanse overheid worden gesponsord om aanvallen uit te voeren die hun belangen wereldwijd zouden bevorderen. De Lazarus-hackgroep is terug in het nieuws met een nieuwe dreiging die zich richt op Linux-servers, in het bijzonder Atlassian confluence-servers. Om dit te doen, maakt de dreiging gebruik van de CVE-2019-3396 RCE-exploit.
Inhoudsopgave
De eerste dreiging van de Lazarus Group die Linux-systemen beoogt
Deze nieuwe malwarestam wordt Dacls genoemd en is een Remote Access Trojan (RAT). Wat moet worden opgemerkt, is dat de Dacls RAT de eerste bedreiging is die is ontwikkeld door de Lazarus-hackgroep die zich richt op Linux-apparaten - voorafgaand aan deze bedreiging had de APT alleen gerichte systemen met Windows OS en OSX. De Trojan van Dacls is echter ook in staat om niet alleen naar Linux-systemen, maar ook naar Windows-apparaten te gaan. De Dacls RAT is ontworpen om specifieke versies van Atlassian confluence-servers te beïnvloeden - voorafgaand aan variant 6.612, voorafgaand aan variant 6.7.0 vóór 6.12.3, voorafgaand aan variant 6.13.10 vóór 6.13.3 en voorafgaand aan variant 6.14.0 vóór 6.14 .2 versie.
De Dacls RAT Linux- en Windows-versies werken anders
Bij het bestuderen van de Trojan van Dacls, ontdekten malware-onderzoekers al snel dat deze bedreiging tot de hackinggroep van Lazarus behoort. Dit werd duidelijk omdat de Dacls RAT dezelfde downloadserver lijkt te gebruiken als andere bedreigingen die werden ontworpen door de Lazarus APT. De Dacls Trojan werkt anders, afhankelijk van of het een Windows- of Linux-systeem is. De Linux-versie van de Dacls RAT heeft alle plug-ins ingebouwd in de component, terwijl de Windows-variant van deze Trojan de plug-ins downloadt die nodig zijn voor de aanval van een externe server. Wanneer de dreiging communiceert met de C&C (Command & Control) -server van de aanvaller, past deze RC4- en TLC-codering toe. Om zijn configuratiebestanden te coderen, zou de Dacls RAT het AES-coderingsalgoritme gebruiken.
mogelijkheden
De Dacls Trojan is in staat om:
- C2-opdrachten ontvangen.
- C2-opdrachten uitvoeren.
- De connectiviteit van het netwerk testen.
- Gegevens ophalen van de C&C server.
- Netwerk scannen op poort 8291.
De Lazarus-hackgroep is geen acteur die kan worden afgewezen of over het hoofd wordt gezien. Ze zijn in staat zeer krachtige en zeer bewapende bedreigingen op te bouwen die grote schade kunnen toebrengen aan hun doelen. Het is interessant en zorgwekkend dat de Lazarus-groep heeft besloten hun bereik uit te breiden en Linux-systemen te gaan gebruiken.
