Dacls

El grupo de piratería de Lazarus es uno de los APT más conocidos (amenaza persistente avanzada) en todo el mundo. El grupo proviene de Corea del Norte, y es probable que estén siendo patrocinados por el gobierno de Corea del Norte para llevar a cabo ataques que favorecerían sus intereses a nivel mundial. El grupo de piratería de Lazarus está de vuelta en las noticias con una nueva amenaza que apunta a los servidores Linux, en particular, los servidores de confluencia Atlassian. Para hacer esto, la amenaza aprovecha el exploit CVE-2019-3396 RCE.

La primera amenaza del grupo Lazarus que apunta a sistemas Linux

Esta nueva variedad de malware se llama Dacls, y es un troyano de acceso remoto (RAT). Lo que debe tenerse en cuenta es que Dacls RAT es la primera amenaza desarrollada por el grupo de piratería de Lazarus que apunta a dispositivos Linux; antes de esta amenaza, la APT solo había apuntado a sistemas que ejecutaban Windows OS y OSX. Sin embargo, el troyano Dacls también es capaz de perseguir no solo sistemas Linux sino también dispositivos Windows. El Dacls RAT está diseñado para afectar versiones específicas del servidor de confluencia de Atlassian: antes de la variante 6.612, antes de la variante 6.7.0 antes de 6.12.3, antes de la variante 6.13.10 antes de 6.13.3 y antes de la variante 6.14.0 antes de 6.14 .2 versión.

Las versiones de Dacls RAT Linux y Windows funcionan de manera diferente

Al estudiar el troyano Dacls, los investigadores de malware descubrieron rápidamente que esta amenaza pertenece al grupo de hackers de Lazarus. Esto se hizo evidente porque el Dacls RAT parece estar utilizando el mismo servidor de descarga que otras amenazas que fueron diseñadas por Lazarus APT. El troyano Dacls funciona de manera diferente dependiendo de si está dirigido a un sistema Windows o Linux. La versión de Linux de Dacls RAT tiene todos los complementos integrados en el componente, mientras que la variante de Windows de este troyano descarga los complementos necesarios para el ataque desde un servidor remoto. Cuando la amenaza se comunica con el servidor C&C (Comando y Control) de los atacantes, aplica el cifrado RC4 y TLC. Para cifrar sus archivos de configuración, Dacls RAT usaría el algoritmo de cifrado AES.

Capacidades

El troyano Dacls es capaz de:

  • Recibiendo comandos C2.
  • Ejecutando comandos C2.
  • Probar la conectividad de la red.
  • Obteniendo datos del servidor C&C.
  • Escaneo de red en el puerto 8291.

El grupo de hackers de Lazarus no es un actor que pueda ser desestimado o ignorado. Son capaces de construir amenazas muy potentes y altamente armadas que pueden causar un gran daño a sus objetivos. Es interesante y preocupante que el grupo Lazarus haya decidido ampliar su alcance y comenzar a apuntar a los sistemas Linux.

Tendencias

Mas Visto

Cargando...