The program is a fully functional RAT for attacks on Windows and Linux.
The cybercriminal group Lazarus, supposedly sponsored by the North Korean
state, has developed new Trojan software designed to attack Linux and Windows
systems.
Recall that earlier cybercriminals, known for their attacks on banks,
financial institutions and cryptocurrency exchanges around the world, rented
malicious tools and access to hacked networks from TrickBot botnet operators.
According to researchers from Qihoo 360 Netlab, Lazarus not only acquired
tools from other criminals, but also developed its own RAT, called Dacls.
A team of experts analyzed malware samples and came to the conclusion
that it is a fully functional RAT for Windows and Linux. While the Windows
sample is dynamically loaded via a remote URL, the Linux version is compiled
directly and includes six common modules for executing commands, managing files
and processes, testing network access, scanning a network, and connecting to a
C&C server.
According to experts, cybercriminals exploit vulnerability
(CVE-2019-3396) of remote code execution in Widget Connector in Atlassian
Confluence server (version 6.6.12 and lower) to infect systems and download Dacls.
Dacls is modular malware and uses TLS and RC4 encryption when interacting
with a C&C server, as well as AES encryption to protect configuration
files. As soon as the Linux version hits the target system, the malware starts
working in the background and checks for updates. Then Dacls unpacks and
decrypts its configuration file and connects to the C&C server.
RAT can perform actions such as stealing, deleting and executing files,
scanning directory structures, loading additional payloads, shutting down system
processes, creating daemon processes, and loading data, including the results
of scanning and command execution.
Группировка
Lazarus атакует Linux-системы с помощью нового вредоноса Dacls
Программа представляет собой полностью функциональный RAT для
атак на Windows и Linux.
Киберпреступная
группировка Lazarus, предположительно спонсируемая государством Северной
Кореи, разработала новое
троянское ПО, предназначенное для атак на Linux- и Windows-системы.
Напомним, ранее киберпреступники, известные своими атаками на
банки, финансовые организации и криптовалютные биржи по всему миру, арендовали вредоносные
инструменты и доступ к взломанным сетям у операторов ботнета TrickBot.
По словам исследователей
из компании Qihoo 360 Netlab, Lazarus не только приобрела инструменты у других
преступников, но также разработала собственный RAT, получивший название Dacls.
Команда специалистов
провела анализ образцов вредоносного ПО и пришла к выводу, что оно представляет
собой полностью функциональный RAT для ОС Windows и Linux. В то время как
образец для Windows динамически загружается через удаленный URL-адрес, версия
для Linux компилируется напрямую и включает шесть общих модулей для выполнения
команд, управления файлами и процессами, тестирования доступа к сети,
сканирования сети и соединения с C&C-сервером.
Как предполагают
эксперты, для заражения систем и загрузки Dacls киберпреступники эксплуатируют уязвимость (CVE-2019-3396)
удаленного выполнения кода в Widget Connector в сервере Atlassian Confluence
(версии 6.6.12 и ниже).
Dacls является модульным
вредоносным ПО и использует TLS- и RC4-шифрование при взаимодействии со
C&C-сервером, а также AES-шифрование для защиты файлов конфигурации. Как
только версия для Linux попадает на целевую систему, вредонос начинает работать
в фоновом режиме и проверяет наличие обновлений. Затем Dacls распаковывает и
расшифровывает свой файл конфигурации и подключается к C&C-серверу.
RAT может выполнять
такие действия, как кража, удаление и выполнение файлов, сканирование структур
каталогов, загрузка дополнительных полезных нагрузок, отключение системных процессов,
создание процессов демона и загрузка данных, в том числе результаты
сканирования и выполнения команд.
Комментариев нет:
Отправить комментарий