ダクルス

Lazarusハッキンググループは、世界で最も悪名高いAPT（Advanced Persistent Threat）の1つです。同グループは北朝鮮出身であり、彼らは世界的に彼らの利益を促進する攻撃を実行するために北朝鮮政府によって後援されている可能性が高い。 Lazarusハッキンググループは、Linuxサーバー、特にAtlassianコンフルエンスサーバーを標的とする新しい脅威でニュースに戻りました。これを行うために、脅威はCVE-2019-3396 RCEエクスプロイトを利用します。

Linuxシステムを標的とするLazarus Groupによる最初の脅威

この新しいマルウェアはDaclsと呼ばれ、リモートアクセストロイの木馬（RAT）です。注意すべきは、Dacls RATはLinuxデバイスを標的とするLazarusハッキンググループによって開発された最初の脅威であるということです。ただし、Daclsトロイの木馬は、Linuxシステムだけでなく、Windowsデバイスも追跡できます。 Dacls RATは、特定のAtlassian Confluenceサーバーバージョンに影響を与えるように設計されています-バリアント6.612より前、バリアント6.7.0より前6.12.3より前、バリアント6.13.10より前6.16.1より前、バリアント6.14.0より前6.14より前.2バージョン。

Dacls RAT LinuxおよびWindowsバージョンの動作の違い

Daclsトロイの木馬を研究すると、マルウェア研究者はこの脅威がLazarusハッキンググループに属していることをすぐに理解しました。これは、Dacls RATがLazarus APTによって設計された他の脅威と同じダウンロードサーバーを使用しているようだからです。 Daclsトロイの木馬は、WindowsシステムとLinuxシステムのどちらを対象としているかによって動作が異なります。 Dacls RATのLinuxバージョンには、コンポーネントにすべてのプラグインが組み込まれていますが、このトロイの木馬のWindowsバリアントは、攻撃に必要なプラグインをリモートサーバーからダウンロードします。脅威が攻撃者のC＆C（コマンド＆コントロール）サーバーと通信する場合、RC4およびTLC暗号化が適用されます。構成ファイルを暗号化するために、Dacls RATはAES暗号化アルゴリズムを使用します。

能力

Daclsトロイの木馬には次の機能があります。

• C2コマンドの受信。
• C2コマンドの実行。
• ネットワークの接続性のテスト。
• C＆Cサーバーからデータを取得します。
• ポート8291でネットワークをスキャンしています。

Lazarusハッキンググループは、却下または見落とされる可能性のある行為者ではありません。彼らは、ターゲットに大きなダメージを与えることができる非常に強力で高度に武器化された脅威を構築することができます。 Lazarusグループがリーチを拡大し、Linuxシステムをターゲットにし始めることを決定したのは興味深いことであり、心配しています。