уровне пользователей
Хакерская группа Lazarus является одним из самых известных APT (Advanced Persistent Threat) в мире. Группа родом из Северной Кореи, и вполне вероятно, что правительство Северной Кореи спонсирует их для проведения атак, которые будут способствовать их интересам во всем мире. Хакерская группа Lazarus возвращается в новостях с новой угрозой, направленной на серверы Linux, в частности, на серверы Atlassian. Для этого угроза использует уязвимость CVE-2019-3396 RCE.
Оглавление
Первая угроза со стороны группы Lazarus для систем Linux
Это новое вредоносное ПО называется Dacls и представляет собой троян удаленного доступа (RAT). Следует отметить, что Dacls RAT - это первая угроза, разработанная хакерской группой Lazarus, которая нацелена на устройства Linux - до этой угрозы APT предназначалась только для систем, работающих под управлением ОС Windows и OSX. Тем не менее, троян Dacls также способен работать не только с системами Linux, но и с устройствами Windows. Dacls RAT предназначен для того, чтобы воздействовать на конкретные версии сервера Atlassian конфлюэнтности - до варианта 6.612, до варианта 6.7.0 до 6.12.3, до варианта 6.13.10 до 6.13.3 и до варианта 6.14.0 до 6.14 .2 версия.
Версии Dacls RAT для Linux и Windows работают по-разному
После изучения трояна Dacls исследователи вредоносных программ быстро выяснили, что эта угроза принадлежит хакерской группе Lazarus. Это стало очевидным, потому что Dacls RAT, похоже, использует тот же сервер загрузки, что и другие угрозы, разработанные Lazarus APT. Троян Dacls работает по-разному в зависимости от того, нацелен ли он на систему Windows или Linux. Linux-версия Dacls RAT имеет все встроенные в компонент подключаемые модули, а вариант этого трояна для Windows загружает подключаемые модули, необходимые для атаки, с удаленного сервера. Когда угроза связывается с сервером C & C (Command & Control) злоумышленников, она применяет шифрование RC4 и TLC. Чтобы зашифровать свои файлы конфигурации, Dacls RAT будет использовать алгоритм шифрования AES.
возможности
Троян Dacls способен:
- Получение команд C2.
- Выполнение команд C2.
- Тестирование подключения к сети.
- Извлечение данных с сервера C & C.
- Сканирование сети по порту 8291.
Хакерская группа Lazarus не является актером, которого можно игнорировать или игнорировать. Они способны создавать очень мощные и высоко вооруженные угрозы, способные нанести огромный урон их целям. Интересно и тревожно, что группа Lazarus решила расширить свою деятельность и начать ориентироваться на системы Linux.
