Dacls
Le groupe de piratage Lazarus est l'un des APT (menace persistante avancée) les plus notoires au monde. Le groupe est originaire de Corée du Nord, et il est probable qu'ils soient parrainés par le gouvernement nord-coréen pour mener des attaques qui serviraient leurs intérêts à l'échelle mondiale. Le groupe de piratage Lazarus est de retour dans l'actualité avec une nouvelle menace qui cible les serveurs Linux, en particulier les serveurs de confluence Atlassian. Pour ce faire, la menace profite de l'exploit CVE-2019-3396 RCE.
Table des matières
La première menace du groupe Lazarus qui cible les systèmes Linux
Cette nouvelle souche de malware s'appelle Dacls, et c'est un cheval de Troie d'accès à distance (RAT). Il convient de noter que le Dacls RAT est la première menace développée par le groupe de piratage Lazarus qui cible les appareils Linux - avant cette menace, l'APT ne ciblait que les systèmes exécutant Windows OS et OSX. Cependant, le cheval de Troie Dacls est également capable de s'attaquer non seulement aux systèmes Linux mais aussi aux appareils Windows. Le Dacls RAT est conçu pour affecter des versions spécifiques du serveur de confluence Atlassian - avant la variante 6.612, avant la variante 6.7.0 avant 6.12.3, avant la variante 6.13.10 avant 6.13.3 et avant la variante 6.14.0 avant la 6.14 Version .2.
Les versions Dacls RAT Linux et Windows fonctionnent différemment
Après avoir étudié le cheval de Troie Dacls, les chercheurs de logiciels malveillants ont rapidement compris que cette menace appartenait au groupe de piratage Lazarus. Cela est devenu évident parce que le Dacls RAT semble utiliser le même serveur de téléchargement que les autres menaces conçues par Lazarus APT. Le cheval de Troie Dacls fonctionne différemment selon qu'il cible un système Windows ou Linux. La version Linux du Dacls RAT a tous les plug-ins intégrés dans le composant, tandis que la variante Windows de ce cheval de Troie télécharge les plug-ins nécessaires à l'attaque depuis un serveur distant. Lorsque la menace communique avec le serveur C&C (Command & Control) des attaquants, il applique le chiffrement RC4 et TLC. Afin de crypter ses fichiers de configuration, le Dacls RAT utiliserait l'algorithme de cryptage AES.
Capacités
Le cheval de Troie Dacls est capable de:
- Réception des commandes C2.
- Exécution des commandes C2.
- Test de la connectivité du réseau.
- Récupération des données du serveur C&C.
- Analyse du réseau sur le port 8291.
Le groupe de piratage Lazarus n'est pas un acteur qui peut être rejeté ou ignoré. Ils sont capables de construire des menaces très puissantes et très militarisées qui peuvent causer de gros dégâts à leurs cibles. Il est intéressant et inquiétant que le groupe Lazarus ait décidé d'étendre sa portée et de commencer à cibler les systèmes Linux.
