[情報] 北韓駭客Lazarus開發出瞄準Linux的木馬程式

看板NetSecurity (資安 資訊安全)作者 (前端攻城師)時間4年前 (2019/12/28 19:52), 編輯推噓0(000)
留言0則, 0人參與, 最新討論串1/1
引用來源 ithome: https://www.ithome.com.tw/news/135048 摘要: 安全廠商發現一款同時適用於Windows和Linux的新型遠端存取木馬,開採了Atlassian Confluence 6.6.12以後版本中的Widget Connector巨集漏洞,這個漏洞已於今年三月完 成修補,用戶應儘速安裝升級版。 內文: 北韓駭客組織Lazarus能力愈來愈強大。安全研究人員發現,除了Windows、Mac平台外, 現在他們也開發出可駭入Linux平台的遠端存取木馬(Remote Access Trojan,RAT)程式 。 安全廠商Netlab 360今年10月發現一款可疑的ELF檔案,經過特徵和行為分析發現,是一 功能齊備、行為隱蔽,而且是同時適用於Windows和Linux的RAT程式,且和北韓駭客組織 Lazarus有關。事實上,它在今年5月就出現,而且也被26款防毒軟體偵測到,但卻鮮為人 知。Net360根據其檔案名及程式內的字串命名為Dacls。 Lazarus被認為是2014年攻擊Sony影業,2017年以WannaCry感染全球,在背後發動攻擊的 北韓駭客組織。 研究人員說,Dacls是一種新型RAT,發展出感染Windows和Linux的版本,兩種版本有同樣 的C&C協定。他們一共發現5隻樣本。Windows模組從遠端URL動態下載,Linux模組則直接 編碼在Bot行程中。Linux.Dacls內有6個模組,包括指令執行、文件與行程管理、網路測 試、C&C連線及網路掃瞄。 研究人員相信它是開採Atlassian Confluence 6.6.12以後版本中的Widget Connector巨 集上的遠端程式執行漏洞CVE-2019-3396來感染系統並植入。這個漏洞今年4月趨勢科技公 告已經有多起網路攻擊事件。 Linux版進入受害系統後以背景執行和C&C伺服器建立加密連線,以利背後的攻擊者更新指 令,還會加密保護其組態檔。在受害系統上Dacls可以做任何事,像是竊取、刪除與執行 檔案或行程、下載攻擊程式、掃瞄目錄結構、建立daemon行程、並上傳其蒐集掃瞄資料及 指令執行結果到C&C伺服器。 CVE-2019-3396已在今年3月由廠商修補,因此安全公司呼籲用戶應儘速安裝升級版,以封 鎖Dacls為害。 Dacls的出現也顯示北韓駭客不斷翻新。上個月安全界才發現一隻Mac版木馬程式已演化為 無檔案(fileless)攻擊手法,也是來自這群駭客。 北韓駭客組織Lazarus能力愈來愈強大。安全研究人員發現,除了Windows、Mac平台外, 現在他們也開發出可駭入Linux平台的遠端存取木馬(Remote Access Trojan,RAT)程式 。 北韓駭客組織Lazarus能力愈來愈強大。安全研究人員發現,除了Windows、Mac平台外, 現在他們也開發出可駭入Linux平台的遠端存取木馬(Remote Access Trojan,RAT)程式 。 安全廠商Netlab 360今年10月發現一款可疑的ELF檔案,經過特徵和行為分析發現,是一 功能齊備、行為隱蔽,而且是同時適用於Windows和Linux的RAT程式,且和北韓駭客組織 Lazarus有關。事實上,它在今年5月就出現,而且也被26款防毒軟體偵測到,但卻鮮為人 知。Net360根據其檔案名及程式內的字串命名為Dacls。 Lazarus被認為是2014年攻擊Sony影業,2017年以WannaCry感染全球,在背後發動攻擊的 北韓駭客組織。 研究人員說,Dacls是一種新型RAT,發展出感染Windows和Linux的版本,兩種版本有同樣 的C&C協定。他們一共發現5隻樣本。Windows模組從遠端URL動態下載,Linux模組則直接 編碼在Bot行程中。Linux.Dacls內有6個模組,包括指令執行、文件與行程管理、網路測 試、C&C連線及網路掃瞄。 研究人員相信它是開採Atlassian Confluence 6.6.12以後版本中的Widget Connector巨 集上的遠端程式執行漏洞CVE-2019-3396來感染系統並植入。這個漏洞今年4月趨勢科技公 告已經有多起網路攻擊事件。 Linux版進入受害系統後以背景執行和C&C伺服器建立加密連線,以利背後的攻擊者更新指 令,還會加密保護其組態檔。在受害系統上Dacls可以做任何事,像是竊取、刪除與執行 檔案或行程、下載攻擊程式、掃瞄目錄結構、建立daemon行程、並上傳其蒐集掃瞄資料及 指令執行結果到C&C伺服器。 CVE-2019-3396已在今年3月由廠商修補,因此安全公司呼籲用戶應儘速安裝升級版,以封 鎖Dacls為害。 Dacls的出現也顯示北韓駭客不斷翻新。上個月安全界才發現一隻Mac版木馬程式已演化為 無檔案(fileless)攻擊手法,也是來自這群駭客。 安全廠商Netlab 360今年10月發現一款可疑的ELF檔案,經過特徵和行為分析發現,是一 功能齊備、行為隱蔽,而且是同時適用於Windows和Linux的RAT程式,且和北韓駭客組織 Lazarus有關。事實上,它在今年5月就出現,而且也被26款防毒軟體偵測到,但卻鮮為人 知。Net360根據其檔案名及程式內的字串命名為Dacls。 Lazarus被認為是2014年攻擊Sony影業,2017年以WannaCry感染全球,在背後發動攻擊的 北韓駭客組織。 研究人員說,Dacls是一種新型RAT,發展出感染Windows和Linux的版本,兩種版本有同樣 的C&C協定。他們一共發現5隻樣本。Windows模組從遠端URL動態下載,Linux模組則直接 編碼在Bot行程中。Linux.Dacls內有6個模組,包括指令執行、文件與行程管理、網路測 試、C&C連線及網路掃瞄。 研究人員相信它是開採Atlassian Confluence 6.6.12以後版本中的Widget Connector巨 集上的遠端程式執行漏洞CVE-2019-3396來感染系統並植入。這個漏洞今年4月趨勢科技公 告已經有多起網路攻擊事件。 Linux版進入受害系統後以背景執行和C&C伺服器建立加密連線,以利背後的攻擊者更新指 令,還會加密保護其組態檔。在受害系統上Dacls可以做任何事,像是竊取、刪除與執行 檔案或行程、下載攻擊程式、掃瞄目錄結構、建立daemon行程、並上傳其蒐集掃瞄資料及 指令執行結果到C&C伺服器。 CVE-2019-3396已在今年3月由廠商修補,因此安全公司呼籲用戶應儘速安裝升級版,以封 鎖Dacls為害。 Dacls的出現也顯示北韓駭客不斷翻新。上個月安全界才發現一隻Mac版木馬程式已演化為 無檔案(fileless)攻擊手法,也是來自這群駭客。 -- 壁河山攻守 爭成敗悟道 許銀川 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.163.137.111 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1577533966.A.B1D.html
文章代碼(AID): #1U1q8EiT (NetSecurity)
文章代碼(AID): #1U1q8EiT (NetSecurity)