Некоторое время в этом году промышлявшие исключительно отъемом денег и вычислительных мощностей у стран третьего мира, по мере того, как 2019 год все быстрее катится к завершению, северокорейцы Lazarus уверенно возвращают себе титул самой вездесущей и опасной хакерской группировки мира (Evil Corp, прости!)
Итак, киберпреступная группировка Lazarus, предположительно спонсируемая государством Северной Кореи, разработала новое троянское ПО, предназначенное для атак на Linux- и Windows-системы. Данная программа представляет собой полностью функциональный RAT для атак на Windows и Linux.
Чуть ранее мы сообщали, что кибергвардия Ким Чен Ына, известная своими атаками на банки, финансовые организации и криптовалютные биржи по всему миру, арендовала вредоносные инструменты и доступ к взломанным сетям у операторов ботнета TrickBot.
По словам исследователей из компании Qihoo 360 Netlab, Lazarus не только приобрела инструменты у других преступников, но также разработала собственный RAT, получивший название Dacls.
Dacls представляет собой полностью функциональный RAT для ОС Windows и Linux. В то время как образец для Windows динамически загружается через удаленный URL-адрес, версия для Linux компилируется напрямую и включает шесть общих модулей для выполнения команд, управления файлами и процессами, тестирования доступа к сети, сканирования сети и соединения с C&C-сервером.
Как предполагают эксперты, для заражения систем и загрузки Dacls киберпреступники эксплуатируют уязвимость (CVE-2019-3396) удаленного выполнения кода в Widget Connector в сервере Atlassian Confluence (версии 6.6.12 и ниже).
Dacls является модульным вредоносным ПО и использует TLS- и RC4-шифрование при взаимодействии со C&C-сервером, а также AES-шифрование для защиты файлов конфигурации. Как только версия для Linux попадает на целевую систему, вредонос начинает работать в фоновом режиме и проверяет наличие обновлений. Затем Dacls распаковывает и расшифровывает свой файл конфигурации и подключается к C&C-серверу.
По словам экспертов, троян может выполнять такие действия, как кража, удаление и выполнение файлов, сканирование структур каталогов, загрузка дополнительных полезных нагрузок, отключение системных процессов, создание процессов демона и загрузка данных, в том числе результаты сканирования и выполнения команд.
Читайте также на АКБ: