Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Модульный зловред атакует Windows и Linux-машины через уязвимость в вики-платформе Atlassian Confluence.
Специалисты Netlab 360 зафиксировали кампанию по распространению ранее неизвестного модульного трояна, получившего название Dacls. Зловред атакует компьютеры под управлением Windows и Linux через RCE-уязвимость в макросе системы Atlassian Confluence, закрытую еще в марте этого года. Эксперты связывают активность Dacls с деятельностью кибергруппировки Lazarus.
На файловом сервере злоумышленников исследователи обнаружили несколько вариантов полезной нагрузки. Как выяснили ИБ-специалисты, Windows-версия зловреда доставляется на целевой компьютер при помощи загрузчика, в то время как Dacls для Linux собирается из модулей непосредственно в инфицированной системе. Злоумышленники могут менять функции трояна через набор плагинов, получаемых с командного сервера.
Возможности зловреда по умолчанию включают:
Адрес C2-сервера, а также файловых хранилищ может динамически меняться. Коммуникация между Dacls и центром управления осуществляется по закрытому каналу, данные шифруются при помощи алгоритма RC4. Файл конфигурации зловреда также закодирован через AES, чтобы предотвратить несанкционированное вмешательство в работу программы и обойти системы защиты.
Аналитики изучили несколько образцов трояна и обнаружили в них фрагменты кода, указывающие на APT-группировку Lazarus. Так, некоторые хэш-суммы исполняемых файлов и библиотек Dacls ранее уже замечали в атаках преступников. Протокол взаимодействия зловреда с командным сервером также совпадает с другими их инструментами.
Уязвимость CVE-2019-3396, которую используют злоумышленники для заражения целевых объектов, связана с макросом Widget Connector в мультиплатформенной вики-системе Atlassian Confluence. Злоумышленники часто используют эксплойт для этого бага — к примеру, его активно эксплуатировали в атаках шифровальщика GandCrab весной этого года.
Специалисты отмечают, что поскольку ошибку давно пропатчили, самый эффективный способ защиты от атак Dacls — оперативная установка обновлений безопасности.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |