作者st1009 (前端攻城师)
看板NetSecurity
标题[情报] 北韩骇客Lazarus开发出瞄准Linux的木马程式
时间Sat Dec 28 19:52:42 2019
引用来源 ithome:
https://www.ithome.com.tw/news/135048
摘要:
安全厂商发现一款同时适用於Windows和Linux的新型远端存取木马,开采了Atlassian
Confluence 6.6.12以後版本中的Widget Connector巨集漏洞,这个漏洞已於今年三月完
成修补,用户应尽速安装升级版。
内文:
北韩骇客组织Lazarus能力愈来愈强大。安全研究人员发现,除了Windows、Mac平台外,
现在他们也开发出可骇入Linux平台的远端存取木马(Remote Access Trojan,RAT)程式
。
安全厂商Netlab 360今年10月发现一款可疑的ELF档案,经过特徵和行为分析发现,是一
功能齐备、行为隐蔽,而且是同时适用於Windows和Linux的RAT程式,且和北韩骇客组织
Lazarus有关。事实上,它在今年5月就出现,而且也被26款防毒软体侦测到,但却鲜为人
知。Net360根据其档案名及程式内的字串命名为Dacls。
Lazarus被认为是2014年攻击Sony影业,2017年以WannaCry感染全球,在背後发动攻击的
北韩骇客组织。
研究人员说,Dacls是一种新型RAT,发展出感染Windows和Linux的版本,两种版本有同样
的C&C协定。他们一共发现5只样本。Windows模组从远端URL动态下载,Linux模组则直接
编码在Bot行程中。Linux.Dacls内有6个模组,包括指令执行、文件与行程管理、网路测
试、C&C连线及网路扫瞄。
研究人员相信它是开采Atlassian Confluence 6.6.12以後版本中的Widget Connector巨
集上的远端程式执行漏洞CVE-2019-3396来感染系统并植入。这个漏洞今年4月趋势科技公
告已经有多起网路攻击事件。
Linux版进入受害系统後以背景执行和C&C伺服器建立加密连线,以利背後的攻击者更新指
令,还会加密保护其组态档。在受害系统上Dacls可以做任何事,像是窃取、删除与执行
档案或行程、下载攻击程式、扫瞄目录结构、建立daemon行程、并上传其蒐集扫瞄资料及
指令执行结果到C&C伺服器。
CVE-2019-3396已在今年3月由厂商修补,因此安全公司呼吁用户应尽速安装升级版,以封
锁Dacls为害。
Dacls的出现也显示北韩骇客不断翻新。上个月安全界才发现一只Mac版木马程式已演化为
无档案(fileless)攻击手法,也是来自这群骇客。
北韩骇客组织Lazarus能力愈来愈强大。安全研究人员发现,除了Windows、Mac平台外,
现在他们也开发出可骇入Linux平台的远端存取木马(Remote Access Trojan,RAT)程式
。
北韩骇客组织Lazarus能力愈来愈强大。安全研究人员发现,除了Windows、Mac平台外,
现在他们也开发出可骇入Linux平台的远端存取木马(Remote Access Trojan,RAT)程式
。
安全厂商Netlab 360今年10月发现一款可疑的ELF档案,经过特徵和行为分析发现,是一
功能齐备、行为隐蔽,而且是同时适用於Windows和Linux的RAT程式,且和北韩骇客组织
Lazarus有关。事实上,它在今年5月就出现,而且也被26款防毒软体侦测到,但却鲜为人
知。Net360根据其档案名及程式内的字串命名为Dacls。
Lazarus被认为是2014年攻击Sony影业,2017年以WannaCry感染全球,在背後发动攻击的
北韩骇客组织。
研究人员说,Dacls是一种新型RAT,发展出感染Windows和Linux的版本,两种版本有同样
的C&C协定。他们一共发现5只样本。Windows模组从远端URL动态下载,Linux模组则直接
编码在Bot行程中。Linux.Dacls内有6个模组,包括指令执行、文件与行程管理、网路测
试、C&C连线及网路扫瞄。
研究人员相信它是开采Atlassian Confluence 6.6.12以後版本中的Widget Connector巨
集上的远端程式执行漏洞CVE-2019-3396来感染系统并植入。这个漏洞今年4月趋势科技公
告已经有多起网路攻击事件。
Linux版进入受害系统後以背景执行和C&C伺服器建立加密连线,以利背後的攻击者更新指
令,还会加密保护其组态档。在受害系统上Dacls可以做任何事,像是窃取、删除与执行
档案或行程、下载攻击程式、扫瞄目录结构、建立daemon行程、并上传其蒐集扫瞄资料及
指令执行结果到C&C伺服器。
CVE-2019-3396已在今年3月由厂商修补,因此安全公司呼吁用户应尽速安装升级版,以封
锁Dacls为害。
Dacls的出现也显示北韩骇客不断翻新。上个月安全界才发现一只Mac版木马程式已演化为
无档案(fileless)攻击手法,也是来自这群骇客。
安全厂商Netlab 360今年10月发现一款可疑的ELF档案,经过特徵和行为分析发现,是一
功能齐备、行为隐蔽,而且是同时适用於Windows和Linux的RAT程式,且和北韩骇客组织
Lazarus有关。事实上,它在今年5月就出现,而且也被26款防毒软体侦测到,但却鲜为人
知。Net360根据其档案名及程式内的字串命名为Dacls。
Lazarus被认为是2014年攻击Sony影业,2017年以WannaCry感染全球,在背後发动攻击的
北韩骇客组织。
研究人员说,Dacls是一种新型RAT,发展出感染Windows和Linux的版本,两种版本有同样
的C&C协定。他们一共发现5只样本。Windows模组从远端URL动态下载,Linux模组则直接
编码在Bot行程中。Linux.Dacls内有6个模组,包括指令执行、文件与行程管理、网路测
试、C&C连线及网路扫瞄。
研究人员相信它是开采Atlassian Confluence 6.6.12以後版本中的Widget Connector巨
集上的远端程式执行漏洞CVE-2019-3396来感染系统并植入。这个漏洞今年4月趋势科技公
告已经有多起网路攻击事件。
Linux版进入受害系统後以背景执行和C&C伺服器建立加密连线,以利背後的攻击者更新指
令,还会加密保护其组态档。在受害系统上Dacls可以做任何事,像是窃取、删除与执行
档案或行程、下载攻击程式、扫瞄目录结构、建立daemon行程、并上传其蒐集扫瞄资料及
指令执行结果到C&C伺服器。
CVE-2019-3396已在今年3月由厂商修补,因此安全公司呼吁用户应尽速安装升级版,以封
锁Dacls为害。
Dacls的出现也显示北韩骇客不断翻新。上个月安全界才发现一只Mac版木马程式已演化为
无档案(fileless)攻击手法,也是来自这群骇客。
--
半壁河山半攻守
半争成败半悟道
许银川
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.163.137.111 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1577533966.A.B1D.html