SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Группировка Lazarus взяла на вооружение RAT-троян Dacls

18 декабря 2019 г., среда, 15:31

Модульный зловред атакует Windows и Linux-машины через уязвимость в вики-платформе Atlassian Confluence.

Специалисты Netlab 360 зафиксировали кампанию по распространению ранее неизвестного модульного трояна, получившего название Dacls. Зловред атакует компьютеры под управлением Windows и Linux через RCE-уязвимость в макросе системы Atlassian Confluence, закрытую еще в марте этого года. Эксперты связывают активность Dacls с деятельностью кибергруппировки Lazarus.

Два варианта трояна Dacls

На файловом сервере злоумышленников исследователи обнаружили несколько вариантов полезной нагрузки. Как выяснили ИБ-специалисты, Windows-версия зловреда доставляется на целевой компьютер при помощи загрузчика, в то время как Dacls для Linux собирается из модулей непосредственно в инфицированной системе. Злоумышленники могут менять функции трояна через набор плагинов, получаемых с командного сервера.

Возможности зловреда по умолчанию включают:

  • чтение, изменение и удаление файлов;
  • создание демон-процессов;
  • загрузку объектов с командного сервера;
  • запуск скриптов, полученных из центра управления;
  • остановку любого активного процесса;
  • тестирование сетевого окружения, доступных портов и IP-адресов.

Адрес C2-сервера, а также файловых хранилищ может динамически меняться. Коммуникация между Dacls и центром управления осуществляется по закрытому каналу, данные шифруются при помощи алгоритма RC4. Файл конфигурации зловреда также закодирован через AES, чтобы предотвратить несанкционированное вмешательство в работу программы и обойти системы защиты.

Аналитики изучили несколько образцов трояна и обнаружили в них фрагменты кода, указывающие на APT-группировку Lazarus. Так, некоторые хэш-суммы исполняемых файлов и библиотек Dacls ранее уже замечали в атаках преступников. Протокол взаимодействия зловреда с командным сервером также совпадает с другими их инструментами.

Уязвимость CVE-2019-3396, которую используют злоумышленники для заражения целевых объектов, связана с макросом Widget Connector в мультиплатформенной вики-системе Atlassian Confluence. Злоумышленники часто используют эксплойт для этого бага — к примеру, его активно эксплуатировали в атаках шифровальщика GandCrab весной этого года.

Специалисты отмечают, что поскольку ошибку давно пропатчили, самый эффективный способ защиты от атак Dacls — оперативная установка обновлений безопасности.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.076
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.