达克斯

拉撒路黑客组织是全球最臭名昭著的APT（高级持续威胁）之一。该组织来自朝鲜，很可能是由朝鲜政府赞助的，他们发动了袭击，在全球范围内促进了他们的利益。 Lazarus黑客组织以一个针对Linux服务器（尤其是Atlassian合流服务器）的新威胁重新成为新闻。为此，威胁利用了CVE-2019-3396 RCE漏洞利用。

Lazarus集团针对Linux系统的第一个威胁

这种新的恶意软件菌株称为Dacls，它是一个远程访问木马（RAT）。需要注意的是，Dacls RAT是由Lazarus黑客组织针对Linux设备开发的第一个威胁-在此威胁之前，APT仅针对运行Windows OS和OSX的系统。但是，Dacls Trojan不仅可以使用Linux系统，还可以使用Windows设备。 Dacls RAT旨在影响特定的Atlassian合流服务器版本-在版本6.612之前，版本6.7.0之前，6.12.3之前，版本6.13.10之前，6.13.3之前，以及版本6.14.0之前在6.14之前。 .2版本。

Dacls RAT Linux和Windows版本的操作方式不同

在研究了Dacls Trojan之后，恶意软件研究人员很快发现这种威胁属于Lazarus黑客组织。这很明显，因为Dacls RAT似乎使用的下载服务器与Lazarus APT设计的其他威胁相同。 Dacls木马的运行方式有所不同，具体取决于它是针对Windows还是Linux系统。 Linux版本的Dacls RAT具有在组件中内置的所有插件，而该木马的Windows变体从远程服务器下载进行攻击所需的插件。当威胁与攻击者的C＆C（命令与控制）服务器通信时，它将应用RC4和TLC加密。为了加密其配置文件，Dacls RAT将使用AES加密算法。

能力

Dacls木马能够：

• 接收C2命令。
• 执行C2命令。
• 测试网络的连接性。
• 从C＆C服务器中获取数据。
• 正在扫描端口8291上的网络。

拉撒路（Lazarus）黑客组织不是可以被解雇或忽视的演员。他们有能力制造非常强大的武器武器，对目标造成极大的伤害。有趣且令人担忧的是，Lazarus小组决定扩大其影响范围并开始针对Linux系统。