O Lazarus Group é um grupo de hackers altamente reconhecido da Coreia do Norte, famoso por criar o ataque de ransomware chamado WannaCry de 2017 que afetou até 300.000 computadores em todo o mundo. Agora, o Lazarus lançou um novo malware RAT (Trojan de Acesso Remoto) chamado Dacls para dispositivos Windows e Linux.

Lazarus lança malware para Linux

Identificado por pesquisadores do laboratório Qihoo 360 Netlab, o Dacls é o primeiro malware para Linux do grupo Lazarus. Anteriormente, o grupo tinha como alvo apenas dispositivos Windows e macOS.

De acordo com pesquisadores de segurança:

No momento, o setor nunca divulgou amostras e casos de ataque do Grupo Lazarus contra a plataforma Linux.

O motivo pelo qual o Dacls foi vinculado ao grupo Lazarus é o servidor de download vagabondsatchel.com que esteve em várias campanhas anteriores do grupo.

De acordo com os pesquisadores de segurança, o Dacls pode carregar plug-ins remotamente nos servidores Windows afetados. Por outro lado, sua versão Linux contém todos os plug-ins necessários para atacar dentro do próprio bot.

O malware protege seus canais de comunicação de comando e controle usando a criptografia de camada dupla TLS e RC4. Além disso, ele implementa a técnica de criptografia AES para criptografar seus arquivos de configuração.

O Dacls explora o bug RCE CVE-2019-3396 que afeta as instalações do Atlassian Confluence Server.

Com a ajuda de seus plug-ins, o Dacls pode receber e executar comandos C2, baixar dados adicionais do servidor C2, executar testes de conectividade de rede, verificar redes aleatórias na porta 8291 e muito mais. Você pode ler sobre todos os recursos desse malware neste relatório do Qihoo 360 Netlab.

O relatório diz:

Não sabemos ao certo por que [a porta] TCP 8291 é o alvo, mas sabemos que o protocolo Winbox do dispositivo MikroTik Router funciona na porta TCP 8291 e está exposto na internet.

Se o malware Dacls afeta um host da intranet, ele pode atacar ainda mais o segmento isolado, o que o torna uma ameaça para as organizações.

Portanto, os pesquisadores de segurança do Qihoo 360 Netlab aconselharam os usuários do Confluence a atualizar seus sistemas para evitar o malware Dacls RAT que o Lazarus lançou para o Linux.

Fonte: Foss Bytes