Η ομάδα Lazarus λέγεται ότι έχει σχέσεις με την κυβέρνηση της Βόρειας Κορέας και έχει συνδεθεί με διάφορες παγκόσμιες κυβερνοεπιθέσεις. Μερικές από τις πιο σημαντικές επιθέσεις της είναι η εξάπλωση του WannaCry ransomware, η κλοπή 80 εκατομμυρίων δολαρίων από την τράπεζα Bangladeshi και μια νέα εκστρατεία που επιτίθεται σε χρηματοπιστωτικά ιδρύματα σε όλο τον κόσμο.
Κάποιοι ερευνητές υποστηρίζουν ότι οι συγκεκριμένοι hackers έχουν χρησιμοποιήσει και το Trickbot (που χρησιμοποιείται από πολλές κυβερνητικές hacking ομάδες) για την απόκτηση πρόσβασης σε μολυσμένα συστήματα.
Η ομάδα Lazarus έχει αγοράσει πολλά εργαλεία από άλλους hackers στο παρελθόν. Ωστόσο, δημιουργεί και δικά της «όπλα», όπως το νέο Trojan Remote Access (RAT), που εντοπίστηκε από ερευνητές της Netlab 360.
Η εταιρεία ασφάλειας δήλωσε ότι το trojan, που ονομάζεται Dacls, εμφανίστηκε πρώτη φορά το Μάιο και ενώ εντοπίστηκε από περισσότερες από 20 εταιρείες που προσφέρουν antivirus λύσεις, εξακολουθεί να θεωρείται “άγνωστο”.
Οι ερευνητές ανέλυσαν ένα δείγμα του κακόβουλου λογισμικού και διαπίστωσαν ότι ήταν ένα “πλήρως λειτουργικό RAT πρόγραμμα για πλατφόρμες Windows και Linux“, που πιθανότατα συνδέεται με αυτή την ομάδα.
Ένα domain που συνδέεται με το κακόβουλο λογισμικό, το thevagabondsatchel.com
, είναι μια περαιτέρω ένδειξη της εμπλοκής της ομάδας Lazarus, καθώς το site είχε χρησιμοποιηθεί στο παρελθόν από την APT για την αποθήκευση κακόβουλου λογισμικού.Οι ερευνητές πιστεύουν ότι το CVE-2019-3396, ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα που επηρεάζει τη μακροεντολή Atlassian Confluence server version 6.6.12 (και τις πιο παλιές από αυτή), χρησιμοποιείται για να μολύνει τα συστήματα και να αναπτύξει το Dacls.
Το RAT, το οποίο ποικίλει ανάλογα με το λειτουργικό σύστημα που στοχεύει, μοιράζεται το command-and-control (C2) protocol του. Το Dacls είναι ένα modular κακόβουλο λογισμικό και χρησιμοποιεί TLS και RC4 κρυπτογράφηση κατά την επικοινωνία του με τον C2 του, καθώς και AES κρυπτογράφηση για την προστασία των αρχείων διαμόρφωσης.
Όταν εντοπίζεται ένα ευάλωτο σύστημα Linux, το κακόβουλο πρόγραμμα εκτελείται στο παρασκήνιο και ελέγχει για ενημερώσεις.
Το Trojan είναι σε θέση να εκτελέσει διάφορες λειτουργίες όπως κλοπή, διαγραφή, εκτέλεση αρχείων, σάρωση καταλόγου, λήψη άλλων payloads, διακοπή διαδικασιών, μεταφόρτωση δεδομένων και άλλα.
Όπως είπαμε και παραπάνω, το trojan εξαπλώνεται μέσω μιας γνωστής ευπάθειας και υπάρχει ήδη διαθέσιμο patch, γι’ αυτό οι διαχειριστές IT θα πρέπει να ενημερώσουν τα Confluence setups τους για να παραμείνουν ασφαλείς.