Lazarus gira a los ataques de Linux a través del troyano Dacls


El desarrollador de Rogue utilizó typosquatting para crear dos bibliotecas de Python troyanizadas
Las bibliotecas maliciosas de Python fueron atrapadas robando claves SSH y GPG.

Lazarus, un grupo avanzado de amenazas persistentes (APT), ha ampliado su alcance con el desarrollo y uso de un troyano diseñado para atacar sistemas Linux.

La APT, que se sospecha que proviene de Corea del Norte, se ha conectado previamente a ataques cibernéticos mundiales y brotes de malware, incluido el infame alboroto WannaCry, el atraco a un banco de Bangladesh de 80 millones de dólares y una nueva campaña que afecta a las instituciones financieras de todo el mundo.

Informes recientes sugieren que Lazarus se ha convertido en un cliente de Trickbot, una empresa prison que ofrece a los actores de amenazas patrocinados por el estado acceso a sistemas infectados junto con una colección de herramientas de piratería.

Lazarus puede estar dispuesto a comprar herramientas de otros pero también puede ser capaz de crear las suyas propias, como en el caso de un nuevo troyano de acceso remoto (RAT) descubierto por investigadores de Netlab 360.

El martes, la empresa de ciberseguridad dijo que el troyano, llamado Dacls, puede haber aparecido en la escena tan pronto como en mayo de este año, y aunque identificado por más de 20 proveedores de antivirus, según VirusTotal, todavía se considera «desconocido».

Ver también: Este agresivo malware de IoT está obligando a los enrutadores Wi-Fi a unirse a su ejército de botnets

Después de investigar una muestra de malware cargada en el sitio website, el equipo determinó que era un «programa completamente funcional, encubierto y RAT para plataformas Home windows y Linux» probablemente conectado a Lazarus.

En complete, los investigadores obtuvieron cinco muestras. Una de las muestras de Home windows fue citada en un informe, Orientación temática CES de Lázaro, mientras que otra muestra fue etiquetada como el trabajo de Lázaro por Guerra cibernética. Un dominio vinculado al malware, thevagabondsatchel.com, es una indicación más de la participación de Lazarus, ya que el sitio internet ha sido utilizado previamente por la APT para almacenar malware.

Si bien el módulo de Home windows se carga dinámicamente a través de una URL remota, la variedad de Linux se compila directamente e incluye seis módulos generales para la ejecución de comandos, gestión de archivos y procesos, pruebas de acceso a la crimson, escaneo de purple y conexiones C2.

Los investigadores creen que CVE-2019-3396, una falla de ejecución remota de código que afecta la macro Widget Connector en el servidor Atlassian Confluence versión 6.6.12 y posteriores, se usa para infectar sistemas e implementar Dacls.

TechRepublic: Informe: las firmas financieras siguen perdiendo datos de clientes por malware y piratas informáticos

El RAT, que viene en diferentes sabores según el sistema operativo al que se dirige, comparte su protocolo de comando y manage (C2). Dacls es malware modular y utiliza el cifrado TLS y RC4 cuando se comunica con su C2, así como el cifrado AES para proteger los archivos de configuración.

Una vez que la versión de Linux aterriza en una máquina susceptible, el malware se ejecutará en segundo plano y buscará actualizaciones. Dacls luego descomprimirá y descifrará su archivo de configuración y se conectará a su C2.

El troyano puede realizar funciones que incluyen robar, eliminar y ejecutar archivos escanear estructuras de directorios, descargar cargas útiles adicionales, eliminar procesos, crear procesos de daemon y cargar datos, incluidos resultados de escaneo y salida de ejecución de comandos.

Como el malware se propaga a través de una vulnerabilidad conocida con un parche fácilmente disponible, se recomienda que los administradores de TI se aseguren de que sus configuraciones de Confluence se mantengan actualizadas.

CNET: Las computadoras de la ciudad de Nueva Orleans se desconectan después del ciberataque

Pattern Micro descubrió otra forma interesante de malware de Linux, denominada Skidmap, en septiembre. El código malicioso united states rootkits en un intento de enterrarse en el núcleo y permanecer discreto mientras despliega mineros de criptomonedas ilícitos.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia unique