Dacls
Die Lazarus-Hacking-Gruppe ist eine der berüchtigtsten APTs (Advanced Persistent Threat) weltweit. Die Gruppe stammt aus Nordkorea, und es ist wahrscheinlich, dass sie von der nordkoreanischen Regierung gesponsert wird, um Angriffe durchzuführen, die ihre Interessen weltweit fördern würden. Die Lazarus-Hacking-Gruppe ist mit einer neuen Bedrohung zurück in den Nachrichten, die Linux-Server, insbesondere Atlassian Confluence-Server, angreift. Zu diesem Zweck nutzt die Bedrohung den CVE-2019-3396 RCE-Exploit.
Inhaltsverzeichnis
Die erste Bedrohung durch die Lazarus-Gruppe, die auf Linux-Systeme abzielt
Diese neue Malware heißt Dacls und ist ein Remote Access Trojaner (RAT). Zu beachten ist, dass die Dacls-RAT die erste Bedrohung ist, die von der Lazarus-Hacking-Gruppe für Linux-Geräte entwickelt wurde. Vor dieser Bedrohung hatte die APT nur Systeme im Visier, auf denen Windows und OSX ausgeführt wurden. Der Dacls-Trojaner ist jedoch auch in der Lage, nicht nur Linux-Systeme, sondern auch Windows-Geräte zu suchen. Die Dacls-RAT wurde entwickelt, um bestimmte Versionen von Atlassian Confluence-Servern zu beeinflussen - vor Version 6.612, vor Version 6.7.0 vor Version 6.12.3, vor Version 6.13.10 vor Version 6.13.3 und vor Version 6.14.0 vor Version 6.14 Version .2.
Die Dacls RAT Linux- und Windows-Versionen funktionieren unterschiedlich
Bei der Untersuchung des Dacls-Trojaners stellten Malware-Forscher schnell fest, dass diese Bedrohung zur Lazarus-Hacking-Gruppe gehört. Dies wurde offensichtlich, weil die Dacls-RAT anscheinend denselben Download-Server verwendet wie andere Bedrohungen, die von der Lazarus-APT entwickelt wurden. Der Dacls-Trojaner funktioniert unterschiedlich, je nachdem, ob er auf ein Windows- oder ein Linux-System abzielt. In der Linux-Version der Dacls-RAT sind alle Plug-Ins in die Komponente integriert, während die Windows-Variante dieses Trojaners die für den Angriff erforderlichen Plug-Ins von einem Remoteserver herunterlädt. Wenn die Bedrohung mit dem C & C-Server (Command & Control) des Angreifers kommuniziert, wird die RC4- und TLC-Verschlüsselung angewendet. Um seine Konfigurationsdateien zu verschlüsseln, würde die Dacls-RAT den AES-Verschlüsselungsalgorithmus verwenden.
Fähigkeiten
Der Dacls-Trojaner kann:
- Empfangen von C2-Befehlen.
- Ausführen von C2-Befehlen.
- Testen der Netzwerkkonnektivität
- Abrufen von Daten vom C & C-Server.
- Scan-Netzwerk an Port 8291.
Die Lazarus-Hacking-Gruppe ist kein Schauspieler, der entlassen oder übersehen werden kann. Sie sind in der Lage, sehr starke und stark bewaffnete Bedrohungen zu erstellen, die ihren Zielen großen Schaden zufügen können. Es ist interessant und besorgniserregend, dass die Lazarus-Gruppe beschlossen hat, ihre Reichweite zu erweitern und Linux-Systeme ins Visier zu nehmen.
