Корейцы Lazarus расчехлили нового троянца для охоты на Linux

Опубликовано at 22:16
286 0

Некоторое время в этом году промышлявшие исключительно отъемом денег и вычислительных мощностей у стран третьего мира, по мере того, как 2019 год все быстрее катится к завершению, северокорейцы Lazarus уверенно возвращают себе титул самой вездесущей и опасной хакерской группировки мира (Evil Corp, прости!)

Итак, киберпреступная группировка Lazarus, предположительно спонсируемая государством Северной Кореи, разработала новое троянское ПО, предназначенное для атак на Linux- и Windows-системы. Данная программа представляет собой полностью функциональный RAT для атак на Windows и Linux.

Чуть ранее мы сообщали, что кибергвардия Ким Чен Ына, известная своими атаками на банки, финансовые организации и криптовалютные биржи по всему миру, арендовала вредоносные инструменты и доступ к взломанным сетям у операторов ботнета TrickBot.

По словам исследователей из компании Qihoo 360 Netlab, Lazarus не только приобрела инструменты у других преступников, но также разработала собственный RAT, получивший название Dacls.

Dacls представляет собой полностью функциональный RAT для ОС Windows и Linux. В то время как образец для Windows динамически загружается через удаленный URL-адрес, версия для Linux компилируется напрямую и включает шесть общих модулей для выполнения команд, управления файлами и процессами, тестирования доступа к сети, сканирования сети и соединения с C&C-сервером.

Как предполагают эксперты, для заражения систем и загрузки Dacls киберпреступники эксплуатируют уязвимость (CVE-2019-3396) удаленного выполнения кода в Widget Connector в сервере Atlassian Confluence (версии 6.6.12 и ниже).

Dacls является модульным вредоносным ПО и использует TLS- и RC4-шифрование при взаимодействии со C&C-сервером, а также AES-шифрование для защиты файлов конфигурации. Как только версия для Linux попадает на целевую систему, вредонос начинает работать в фоновом режиме и проверяет наличие обновлений. Затем Dacls распаковывает и расшифровывает свой файл конфигурации и подключается к C&C-серверу.

По словам экспертов, троян может выполнять такие действия, как кража, удаление и выполнение файлов, сканирование структур каталогов, загрузка дополнительных полезных нагрузок, отключение системных процессов, создание процессов демона и загрузка данных, в том числе результаты сканирования и выполнения команд.

Читайте также на АКБ:

Lazarus и TrickBot слились в экстазе взаимной выгоды

Подписываемся, следим @CyberAgency

Related Post

В Сингапуре придумали механизм бесперебойного питания умных устройств

Опубликовано - 07.05.2018 0
Инженеры Национального университета Сингапура (NUS) озадачились решением насущной проблемы: в умных устройствах батареи во много раз больше и дороже, чем,…