O Lazarus Group é um grupo de hackers altamente reconhecido da Coreia do Norte, famoso por criar o ataque de ransomware chamado WannaCry de 2017 que afetou até 300.000 computadores em todo o mundo. Agora, o Lazarus lançou um novo malware RAT (Trojan de Acesso Remoto) chamado Dacls para dispositivos Windows e Linux.
Lazarus lança malware para Linux
Identificado por pesquisadores do laboratório Qihoo 360 Netlab, o Dacls é o primeiro malware para Linux do grupo Lazarus. Anteriormente, o grupo tinha como alvo apenas dispositivos Windows e macOS.
De acordo com pesquisadores de segurança:
No momento, o setor nunca divulgou amostras e casos de ataque do Grupo Lazarus contra a plataforma Linux.
O motivo pelo qual o Dacls foi vinculado ao grupo Lazarus é o servidor de download vagabondsatchel.com que esteve em várias campanhas anteriores do grupo.
De acordo com os pesquisadores de segurança, o Dacls pode carregar plug-ins remotamente nos servidores Windows afetados. Por outro lado, sua versão Linux contém todos os plug-ins necessários para atacar dentro do próprio bot.
O malware protege seus canais de comunicação de comando e controle usando a criptografia de camada dupla TLS e RC4. Além disso, ele implementa a técnica de criptografia AES para criptografar seus arquivos de configuração.
O Dacls explora o bug RCE CVE-2019-3396 que afeta as instalações do Atlassian Confluence Server.
Com a ajuda de seus plug-ins, o Dacls pode receber e executar comandos C2, baixar dados adicionais do servidor C2, executar testes de conectividade de rede, verificar redes aleatórias na porta 8291 e muito mais. Você pode ler sobre todos os recursos desse malware neste relatório do Qihoo 360 Netlab.
O relatório diz:
Não sabemos ao certo por que [a porta] TCP 8291 é o alvo, mas sabemos que o protocolo Winbox do dispositivo MikroTik Router funciona na porta TCP 8291 e está exposto na internet.
Se o malware Dacls afeta um host da intranet, ele pode atacar ainda mais o segmento isolado, o que o torna uma ameaça para as organizações.
Portanto, os pesquisadores de segurança do Qihoo 360 Netlab aconselharam os usuários do Confluence a atualizar seus sistemas para evitar o malware Dacls RAT que o Lazarus lançou para o Linux.
Fonte: Foss Bytes