Группировка Lazarus атакует Linux-системы с помощью нового вредоноса Dacls

Киберпреступная группировка Lazarus, предположительно спонсируемая государством Северной Кореи, разработала новое троянское ПО, предназначенное для атак на Linux- и Windows-системы.

Напомним, ранее киберпреступники, известные своими атаками на банки, финансовые организации и криптовалютные биржи по всему миру, арендовали вредоносные инструменты и доступ к взломанным сетям у операторов ботнета TrickBot.

По словам исследователей из компании Qihoo 360 Netlab, Lazarus не только приобрела инструменты у других преступников, но также разработала собственный RAT, получивший название Dacls.

Команда специалистов провела анализ образцов вредоносного ПО и пришла к выводу, что оно представляет собой полностью функциональный RAT для ОС Windows и Linux. В то время как образец для Windows динамически загружается через удаленный URL-адрес, версия для Linux компилируется напрямую и включает шесть общих модулей для выполнения команд, управления файлами и процессами, тестирования доступа к сети, сканирования сети и соединения с C&C-сервером.

Как предполагают эксперты, для заражения систем и загрузки Dacls киберпреступники эксплуатируют уязвимость (CVE-2019-3396) удаленного выполнения кода в Widget Connector в сервере Atlassian Confluence (версии 6.6.12 и ниже).

Dacls является модульным вредоносным ПО и использует TLS- и RC4-шифрование при взаимодействии со C&C-сервером, а также AES-шифрование для защиты файлов конфигурации. Как только версия для Linux попадает на целевую систему, вредонос начинает работать в фоновом режиме и проверяет наличие обновлений. Затем Dacls распаковывает и расшифровывает свой файл конфигурации и подключается к C&C-серверу.

RAT может выполнять такие действия, как кража, удаление и выполнение файлов, сканирование структур каталогов, загрузка дополнительных полезных нагрузок, отключение системных процессов, создание процессов демона и загрузка данных, в том числе результаты сканирования и выполнения команд.