Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Группировка Lazarus атакует Linux-системы с помощью нового вредоноса Dacls

18/12/19

Korean hack 2Киберпреступная группировка Lazarus, предположительно спонсируемая государством Северной Кореи, разработала новое троянское ПО, предназначенное для атак на Linux- и Windows-системы.

Напомним, ранее киберпреступники, известные своими атаками на банки, финансовые организации и криптовалютные биржи по всему миру, арендовали вредоносные инструменты и доступ к взломанным сетям у операторов ботнета TrickBot.

По словам исследователей из компании Qihoo 360 Netlab, Lazarus не только приобрела инструменты у других преступников, но также разработала собственный RAT, получивший название Dacls.

Команда специалистов провела анализ образцов вредоносного ПО и пришла к выводу, что оно представляет собой полностью функциональный RAT для ОС Windows и Linux. В то время как образец для Windows динамически загружается через удаленный URL-адрес, версия для Linux компилируется напрямую и включает шесть общих модулей для выполнения команд, управления файлами и процессами, тестирования доступа к сети, сканирования сети и соединения с C&C-сервером.

Как предполагают эксперты, для заражения систем и загрузки Dacls киберпреступники эксплуатируют уязвимость (CVE-2019-3396) удаленного выполнения кода в Widget Connector в сервере Atlassian Confluence (версии 6.6.12 и ниже).

Dacls является модульным вредоносным ПО и использует TLS- и RC4-шифрование при взаимодействии со C&C-сервером, а также AES-шифрование для защиты файлов конфигурации. Как только версия для Linux попадает на целевую систему, вредонос начинает работать в фоновом режиме и проверяет наличие обновлений. Затем Dacls распаковывает и расшифровывает свой файл конфигурации и подключается к C&C-серверу.

RAT может выполнять такие действия, как кража, удаление и выполнение файлов, сканирование структур каталогов, загрузка дополнительных полезных нагрузок, отключение системных процессов, создание процессов демона и загрузка данных, в том числе результаты сканирования и выполнения команд.

Темы:ПреступленияLazarus GroupКНДРQuihoo 360
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...