Daclowie
Grupa hakerów Lazarus jest jednym z najbardziej znanych na świecie APT (Advanced Persistent Threat). Grupa pochodzi z Korei Północnej i jest prawdopodobne, że są sponsorowani przez rząd Korei Północnej, aby przeprowadzać ataki, które mogłyby wspierać ich interesy na całym świecie. Grupa hakerów Lazarus powraca do wiadomości z nowym zagrożeniem atakującym serwery Linux, w szczególności serwery konfluencji Atlassian. Aby to zrobić, zagrożenie wykorzystuje exploit CVE-2019-3396 RCE.
Spis treści
Pierwsze zagrożenie ze strony Lazarus Group, które atakuje systemy Linux
Ten nowy szczep złośliwego oprogramowania nazywa się Dacls i jest to trojan zdalnego dostępu (RAT). Należy zauważyć, że DACls RAT jest pierwszym zagrożeniem opracowanym przez grupę hakerów Lazarus atakującą urządzenia z systemem Linux - przed tym zagrożeniem APT atakował tylko systemy z systemem operacyjnym Windows i OSX. Jednak trojan Dacls potrafi również atakować nie tylko systemy Linux, ale także urządzenia z systemem Windows. DACls RAT został zaprojektowany w taki sposób, aby wpływał na określone wersje serwerów konfluencji Atlassian - przed wariantem 6.612, przed wariantem 6.7.0 przed 6.12.3, przed wariantem 6.13.10 przed 6.13.3 i przed wariantem 6.14.0 przed 6.14 Wersja .2.
Wersje DACls RAT Linux i Windows działają inaczej
Po przestudiowaniu trojana Dacls, badacze szkodliwego oprogramowania szybko zorientowali się, że zagrożenie to należy do grupy hakerów Lazarus. Stało się to oczywiste, ponieważ RAC Dacls wydaje się używać tego samego serwera pobierania, co inne zagrożenia zaprojektowane przez Lazarus APT. Trojan Dacls działa inaczej w zależności od tego, czy atakuje system Windows, czy Linux. Wersja Linux DACls RAT ma wszystkie wtyczki wbudowane w ten komponent, podczas gdy wariant Windows tego trojana pobiera wtyczki potrzebne do ataku ze zdalnego serwera. Gdy zagrożenie komunikuje się z serwerem C&C (Command & Control) atakującego, stosuje szyfrowanie RC4 i TLC. Aby zaszyfrować swoje pliki konfiguracyjne, RAC Dacls użyłby algorytmu szyfrowania AES.
Możliwości
Trojan Dacls może:
- Odbieranie poleceń C2.
- Wykonywanie poleceń C2.
- Testowanie łączności sieci.
- Pobieranie danych z serwera C&C.
- Skanowanie sieci na porcie 8291.
Grupa hakerska Lazarus nie jest aktorem, którego można odrzucić lub przeoczyć. Potrafią budować bardzo potężne i dobrze uzbrojone zagrożenia, które są w stanie wyrządzić ogromne szkody swoim celom. To interesujące i niepokojące, że grupa Lazarus zdecydowała się zwiększyć zasięg i zacząć atakować systemy Linux.
