DACL

Lazarus-hacking-gruppen är en av de mest beryktade APT: erna (Advanced Persistent Threat) världen över. Gruppen kommer från Nordkorea, och det är troligt att de sponsras av den nordkoreanska regeringen för att genomföra attacker som skulle främja deras intressen globalt. Lazarus-hackinggruppen är tillbaka i nyheterna med ett nytt hot som riktar sig mot Linux-servrar, särskilt Atlassianska sammanflödesservrar. För att göra detta utnyttjar hotet utnyttjandet av RCE CVE-2019-3396.

Den första hoten från Lazarus-gruppen som riktar sig till Linux-system

Den här nya skadliga stamstammen kallas Dacls, och den är en Remote Access Trojan (RAT). Det som bör noteras är att Dacls RAT är det första hotet som utvecklats av Lazarus-hacking-gruppen som riktar sig till Linux-enheter - före detta hot hade APT endast riktade system som kör Windows OS och OSX. Dacls Trojan kan emellertid också följa inte bara Linux-system utan Windows-enheter också. Dacls RAT är utformad för att påverka specifika Atlassianska sammanflytningsserverversioner - före variant 6.612, före variant 6.7.0 före 6.12.3, före variant 6.13.10 före 6.13.3, och före variant 6.14.0 före 6.14.3 .2 version.

Dacls RAT Linux- och Windows-versionerna fungerar olika

Efter att ha studerat Dacls Trojan, såg malwareforskare snabbt ut att detta hot tillhör Lazarus-hacking-gruppen. Detta blev uppenbart eftersom Dacls RAT verkar använda samma nedladdningsserver som andra hot som designades av Lazarus APT. Dacls Trojan fungerar annorlunda beroende på om den riktar sig till ett Windows- eller Linux-system. Linux-versionen av Dacls RAT har alla plug-ins inbyggda i komponenten, medan Windows-varianten av denna Trojan laddar ner de plug-ins som behövs för attacken från en fjärrserver. När hotet kommunicerar med angriparnas C&C (Command & Control) -server tillämpar den RC4- och TLC-kryptering. För att kryptera dess konfigurationsfiler skulle Dacls RAT använda AES-krypteringsalgoritmen.

Förmågor

Dacls Trojan kan:

  • Tar emot C2-kommandon.
  • Utför C2-kommandon.
  • Testa nätverkets anslutning.
  • Hämtar data från C & C-servern.
  • Skanningsnätverk på port 8291.

Lazarus-hackgruppen är inte en skådespelare som kan avskedas eller förbises. De kan bygga mycket potenta och mycket vapenade hot som kan orsaka stora skador på deras mål. Det är intressant och oroande att Lazarus-gruppen har beslutat att utöka räckvidden och börja rikta sig mot Linux-system.

Trendigt

Mest sedda

Läser in...