朝鲜黑客组织Lazarus能力越来越强大。安全研究人员发现,除了Windows、Mac平台外,现在他们也开发出可黑入Linux平台的远程访问木马(Remote Access Trojan,RAT)程序。
安全厂商Netlab 360今年10月发现一款可疑的ELF文件,经过特征和行为分析发现,是一功能齐备、行为隐蔽,而且是同时适用于Windows和Linux的RAT程序,且和朝鲜黑客组织Lazarus有关。事实上,它在今年5月就出现,而且也被26款杀毒软件侦测到,但却鲜为人知。Net360根据其文件名及程序内的字符串命名为Dacls。
Lazarus被认为是2014年攻击Sony影业,2017年以WannaCry感染全球,在背后发动攻击的朝鲜黑客组织。
研究人员说,Dacls是一种新型RAT,发展出感染Windows和Linux的版本,两种版本有同样的C&C协议。他们一共发现5只样本。Windows模块从远程URL动态下载,Linux模块则直接编码在Bot行程中。Linux.Dacls内有6个模块,包括指令执行、文件与行程管理、网络测试、C&C连接及网络扫描。
研究人员相信它是开采Atlassian Confluence 6.6.12以后版本中的Widget Connector宏上的远程程序执行漏洞CVE-2019-3396来感染系统并植入。这个漏洞今年4月趋势科技公告已经有多起网络攻击事件。
Linux版进入受害系统后以背景执行和C&C服务器创建加密连接,以便背后的攻击者更新指令,还会加密保护其组态档。在受害系统上Dacls可以做任何事,像是窃取、删除与执行文件或行程、下载攻击程序、扫描目录结构、创建daemon行程、并上传其搜集扫描数据及指令执行结果到C&C服务器。
CVE-2019-3396已在今年3月由厂商修补,因此安全公司呼吁用户应尽快安装升级版,以封锁Dacls为害。
Dacls的出现也显示朝鲜黑客不断翻新。上个月安全界才发现一只Mac版木马程序已演化为无文件(fileless)攻击手法,也是来自这群黑客。