新闻来源:ITHome https://www.ithome.com.tw/news/135048 内文: 安全厂商发现一款同时适用於Windows和Linux的新型远端存取木马， 开采了Atlassian Confluence 6.6.12以後版本中的Widget Connector巨集漏洞， 这个漏洞已於今年三月完成修补，用户应尽速安装升级版。 北韩骇客组织Lazarus能力愈来愈强大。安全研究人员发现，除了Windows、Mac平台外， 现在他们也开发出可骇入Linux平台的远端存取木马（Remote Access Trojan，RAT）程式。 安全厂商Netlab 360今年10月发现一款可疑的ELF档案，经过特徵和行为分析发现，是一功能齐备、 行为隐蔽，而且是同时适用於Windows和Linux的RAT程式，且和北韩骇客组织Lazarus有关。 事实上，它在今年5月就出现，而且也被26款防毒软体侦测到，但却鲜为人知。 Net360根据其档案名及程式内的字串命名为Dacls。 Lazarus被认为是2014年攻击Sony影业，2017年以WannaCry感染全球，在背後发动攻击的北韩骇客组织。 研究人员说，Dacls是一种新型RAT，发展出感染Windows和Linux的版本，两种版本有同样的C&C协定。 他们一共发现5只样本。Windows模组从远端URL动态下载，Linux模组则直接编码在Bot行程中。 Linux.Dacls内有6个模组，包括指令执行、文件与行程管理、网路测试、C&C连线及网路扫瞄。 研究人员相信它是开采Atlassian Confluence 6.6.12以後版本中的Widget Connector巨集上的 远端程式执行漏洞CVE-2019-3396来感染系统并植入。这个漏洞今年4月趋势科技公告已经有多起网路攻击事件。 Linux版进入受害系统後以背景执行和C&C伺服器建立加密连线，以利背後的攻击者更新指令， 还会加密保护其组态档。在受害系统上Dacls可以做任何事，像是窃取、删除与执行档案或行程、 下载攻击程式、扫瞄目录结构、建立daemon行程、并上传其蒐集扫瞄资料及指令执行结果到C&C伺服器。 CVE-2019-3396已在今年3月由厂商修补，因此安全公司呼吁用户应尽速安装升级版，以封锁Dacls为害。 Dacls的出现也显示北韩骇客不断翻新。上个月安全界才发现一只Mac版木马程式已演化为无档案（fileless） 攻击手法，也是来自这群骇客。 -- I see you when I see you! --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 60.251.53.169 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Linux/M.1577417419.A.480.html