引用来源 ithome：
https://www.ithome.com.tw/news/135048
摘要:
安全厂商发现一款同时适用于Windows和Linux的新型远端存取木马，开采了Atlassian
Confluence 6.6.12以后版本中的Widget Connector宏漏洞，这个漏洞已于今年三月完
成修补，用户应尽速安装升级版。
内文:
北韩骇客组织Lazarus能力愈来愈强大。安全研究人员发现，除了Windows、Mac平台外，
现在他们也开发出可骇入Linux平台的远端存取木马（Remote Access Trojan，RAT）程式
。
安全厂商Netlab 360今年10月发现一款可疑的ELF档案，经过特征和行为分析发现，是一
功能齐备、行为隐蔽，而且是同时适用于Windows和Linux的RAT程式，且和北韩骇客组织
Lazarus有关。事实上，它在今年5月就出现，而且也被26款防毒软件侦测到，但却鲜为人
知。Net360根据其档案名及程式内的字串命名为Dacls。
Lazarus被认为是2014年攻击Sony影业，2017年以WannaCry感染全球，在背后发动攻击的
北韩骇客组织。
研究人员说，Dacls是一种新型RAT，发展出感染Windows和Linux的版本，两种版本有同样
的C&C协定。他们一共发现5只样本。Windows模组从远端URL动态下载，Linux模组则直接
编码在Bot行程中。Linux.Dacls内有6个模组，包括指令执行、文件与行程管理、网络测
试、C&C连线及网络扫瞄。
研究人员相信它是开采Atlassian Confluence 6.6.12以后版本中的Widget Connector巨
集上的远端程式执行漏洞CVE-2019-3396来感染系统并植入。这个漏洞今年4月趋势科技公
告已经有多起网络攻击事件。
Linux版进入受害系统后以背景执行和C&C服务器建立加密连线，以利背后的攻击者更新指
令，还会加密保护其组态档。在受害系统上Dacls可以做任何事，像是窃取、删除与执行
档案或行程、下载攻击程式、扫瞄目录结构、建立daemon行程、并上传其蒐集扫瞄资料及
指令执行结果到C&C服务器。
CVE-2019-3396已在今年3月由厂商修补，因此安全公司呼吁用户应尽速安装升级版，以封
锁Dacls为害。
Dacls的出现也显示北韩骇客不断翻新。上个月安全界才发现一只Mac版木马程式已演化为
无档案（fileless）攻击手法，也是来自这群骇客。
北韩骇客组织Lazarus能力愈来愈强大。安全研究人员发现，除了Windows、Mac平台外，
现在他们也开发出可骇入Linux平台的远端存取木马（Remote Access Trojan，RAT）程式
。
北韩骇客组织Lazarus能力愈来愈强大。安全研究人员发现，除了Windows、Mac平台外，
现在他们也开发出可骇入Linux平台的远端存取木马（Remote Access Trojan，RAT）程式
。
安全厂商Netlab 360今年10月发现一款可疑的ELF档案，经过特征和行为分析发现，是一
功能齐备、行为隐蔽，而且是同时适用于Windows和Linux的RAT程式，且和北韩骇客组织
Lazarus有关。事实上，它在今年5月就出现，而且也被26款防毒软件侦测到，但却鲜为人
知。Net360根据其档案名及程式内的字串命名为Dacls。
Lazarus被认为是2014年攻击Sony影业，2017年以WannaCry感染全球，在背后发动攻击的
北韩骇客组织。
研究人员说，Dacls是一种新型RAT，发展出感染Windows和Linux的版本，两种版本有同样
的C&C协定。他们一共发现5只样本。Windows模组从远端URL动态下载，Linux模组则直接
编码在Bot行程中。Linux.Dacls内有6个模组，包括指令执行、文件与行程管理、网络测
试、C&C连线及网络扫瞄。
研究人员相信它是开采Atlassian Confluence 6.6.12以后版本中的Widget Connector巨
集上的远端程式执行漏洞CVE-2019-3396来感染系统并植入。这个漏洞今年4月趋势科技公
告已经有多起网络攻击事件。
Linux版进入受害系统后以背景执行和C&C服务器建立加密连线，以利背后的攻击者更新指
令，还会加密保护其组态档。在受害系统上Dacls可以做任何事，像是窃取、删除与执行
档案或行程、下载攻击程式、扫瞄目录结构、建立daemon行程、并上传其蒐集扫瞄资料及
指令执行结果到C&C服务器。
CVE-2019-3396已在今年3月由厂商修补，因此安全公司呼吁用户应尽速安装升级版，以封
锁Dacls为害。
Dacls的出现也显示北韩骇客不断翻新。上个月安全界才发现一只Mac版木马程式已演化为
无档案（fileless）攻击手法，也是来自这群骇客。
安全厂商Netlab 360今年10月发现一款可疑的ELF档案，经过特征和行为分析发现，是一
功能齐备、行为隐蔽，而且是同时适用于Windows和Linux的RAT程式，且和北韩骇客组织
Lazarus有关。事实上，它在今年5月就出现，而且也被26款防毒软件侦测到，但却鲜为人
知。Net360根据其档案名及程式内的字串命名为Dacls。
Lazarus被认为是2014年攻击Sony影业，2017年以WannaCry感染全球，在背后发动攻击的
北韩骇客组织。
研究人员说，Dacls是一种新型RAT，发展出感染Windows和Linux的版本，两种版本有同样
的C&C协定。他们一共发现5只样本。Windows模组从远端URL动态下载，Linux模组则直接
编码在Bot行程中。Linux.Dacls内有6个模组，包括指令执行、文件与行程管理、网络测
试、C&C连线及网络扫瞄。
研究人员相信它是开采Atlassian Confluence 6.6.12以后版本中的Widget Connector巨
集上的远端程式执行漏洞CVE-2019-3396来感染系统并植入。这个漏洞今年4月趋势科技公
告已经有多起网络攻击事件。
Linux版进入受害系统后以背景执行和C&C服务器建立加密连线，以利背后的攻击者更新指
令，还会加密保护其组态档。在受害系统上Dacls可以做任何事，像是窃取、删除与执行
档案或行程、下载攻击程式、扫瞄目录结构、建立daemon行程、并上传其蒐集扫瞄资料及
指令执行结果到C&C服务器。
CVE-2019-3396已在今年3月由厂商修补，因此安全公司呼吁用户应尽速安装升级版，以封
锁Dacls为害。
Dacls的出现也显示北韩骇客不断翻新。上个月安全界才发现一只Mac版木马程式已演化为
无档案（fileless）攻击手法，也是来自这群骇客。