Dacls
O grupo de hackers do Lazarus é um dos APTs (Ameaça Persistente Avançada) mais notável do mundo. O grupo é originário da Coréia do Norte e é provável que eles estejam sendo patrocinados pelo governo norte-coreano para realizar ataques que promovam seus interesses globalmente. O grupo de hackers Lazarus está de volta às notícias com uma nova ameaça que tem como alvo os servidores Linux, em particular os servidores de confluência Atlassian. Para fazer isso, a ameaça tira proveito da exploração do RCE CVE-2019-3396.
Índice
A Primeira Ameaça do Grupo Lazarus que Tem como Alvo os Sistemas Linux
Essa nova variedade de malware é chamada Dacls e é um Trojan de Acesso Remoto (RAT). O que deve ser observado é que o Dacls RAT é a primeira ameaça desenvolvida pelo grupo de hackers Lazarus que tem como alvo os dispositivos Linux - antes dessa ameaça, o APT tinha como alvo apenas sistemas com Windows OS e OSX. No entanto, o Trojan Dacls também é capaz de perseguir não apenas os sistemas Linux, mas também os dispositivos Windows. O Dacls RAT foi projetado para afetar versões específicas do servidor de confluência Atlassian - antes da variante 6.612, antes da variante 6.7.0 antes de 6.12.3, antes da variante 6.13.10 antes de 6.13.3 e antes da variante 6.14.0 antes da 6.14 .2 versão.
As Versões do Dacls RAT Linux e Windows Operam de Maneira Diferente
Ao estudar o Trojan Dacls, os pesquisadores de malware descobriram rapidamente que essa ameaça pertence ao grupo de hackers Lazarus. Isso ficou evidente porque o Dacls RAT parece estar usando o mesmo servidor de download que outras ameaças projetadas pelo Lazarus APT. O Trojan Dacls opera de maneira diferente, dependendo de ter como alvo um sistema Windows ou Linux. A versão Linux do Dacls RAT possui todos os plug-ins criados no componente, enquanto a variante do Windows deste Trojan baixa os plug-ins necessários para o ataque de um servidor remoto. Quando a ameaça se comunica com o servidor C&C (Comando e Controle) dos invasores, aplica-se a criptografia RC4 e TLC. Para criptografar seus arquivos de configuração, o Dacls RAT usaria o algoritmo de criptografia AES.
Recursos
O Trojan Dacls é capaz de:
- Recebendo comandos C2.
- Executando comandos C2.
- Testando a conectividade da rede.
- Buscando dados do servidor C&C.
- Rede de digitalização na porta 8291.
O grupo de hackers do Lazarus não é um ator que pode ser demitido ou ignorado. Eles são capazes de criar ameaças muito potentes e altamente armadas, capazes de causar grandes danos aos seus alvos. É interessante e preocupante que o grupo Lazarus tenha decidido expandir seu alcance e começar a direcionar os sistemas Linux.
