新闻来源:ITHome
https://www.ithome.com.tw/news/135048
内文:
安全厂商发现一款同时适用于Windows和Linux的新型远端存取木马,
开采了Atlassian Confluence 6.6.12以后版本中的Widget Connector宏漏洞,
这个漏洞已于今年三月完成修补,用户应尽速安装升级版。
北韩骇客组织Lazarus能力愈来愈强大。安全研究人员发现,除了Windows、Mac平台外,
现在他们也开发出可骇入Linux平台的远端存取木马(Remote Access Trojan,RAT)程式。
安全厂商Netlab 360今年10月发现一款可疑的ELF档案,经过特征和行为分析发现,是一功能齐备、
行为隐蔽,而且是同时适用于Windows和Linux的RAT程式,且和北韩骇客组织Lazarus有关。
事实上,它在今年5月就出现,而且也被26款防毒软件侦测到,但却鲜为人知。
Net360根据其档案名及程式内的字串命名为Dacls。
Lazarus被认为是2014年攻击Sony影业,2017年以WannaCry感染全球,在背后发动攻击的北韩骇客组织。
研究人员说,Dacls是一种新型RAT,发展出感染Windows和Linux的版本,两种版本有同样的C&C协定。
他们一共发现5只样本。Windows模组从远端URL动态下载,Linux模组则直接编码在Bot行程中。
Linux.Dacls内有6个模组,包括指令执行、文件与行程管理、网络测试、C&C连线及网络扫瞄。
研究人员相信它是开采Atlassian Confluence 6.6.12以后版本中的Widget Connector宏上的
远端程式执行漏洞CVE-2019-3396来感染系统并植入。这个漏洞今年4月趋势科技公告已经有多起网络攻击事件。
Linux版进入受害系统后以背景执行和C&C服务器建立加密连线,以利背后的攻击者更新指令,
还会加密保护其组态档。在受害系统上Dacls可以做任何事,像是窃取、删除与执行档案或行程、
下载攻击程式、扫瞄目录结构、建立daemon行程、并上传其蒐集扫瞄资料及指令执行结果到C&C服务器。
CVE-2019-3396已在今年3月由厂商修补,因此安全公司呼吁用户应尽速安装升级版,以封锁Dacls为害。
Dacls的出现也显示北韩骇客不断翻新。上个月安全界才发现一只Mac版木马程式已演化为无档案(fileless)
攻击手法,也是来自这群骇客。