北韓駭客Lazarus開發出瞄準Linux的木馬程式 - 資安

引用來源 ithome：
https://www.ithome.com.tw/news/135048

摘要:

安全廠商發現一款同時適用於Windows和Linux的新型遠端存取木馬，開採了Atlassian
Confluence 6.6.12以後版本中的Widget Connector巨集漏洞，這個漏洞已於今年三月完
成修補，用戶應儘速安裝升級版。

內文:

北韓駭客組織Lazarus能力愈來愈強大。安全研究人員發現，除了Windows、Mac平台外，
現在他們也開發出可駭入Linux平台的遠端存取木馬（Remote Access Trojan，RAT）程式
。

安全廠商Netlab 360今年10月發現一款可疑的ELF檔案，經過特徵和行為分析發現，是一
功能齊備、行為隱蔽，而且是同時適用於Windows和Linux的RAT程式，且和北韓駭客組織
Lazarus有關。事實上，它在今年5月就出現，而且也被26款防毒軟體偵測到，但卻鮮為人
知。Net360根據其檔案名及程式內的字串命名為Dacls。

Lazarus被認為是2014年攻擊Sony影業，2017年以WannaCry感染全球，在背後發動攻擊的
北韓駭客組織。

研究人員說，Dacls是一種新型RAT，發展出感染Windows和Linux的版本，兩種版本有同樣
的C&C協定。他們一共發現5隻樣本。Windows模組從遠端URL動態下載，Linux模組則直接
編碼在Bot行程中。Linux.Dacls內有6個模組，包括指令執行、文件與行程管理、網路測
試、C&C連線及網路掃瞄。

研究人員相信它是開採Atlassian Confluence 6.6.12以後版本中的Widget Connector巨
集上的遠端程式執行漏洞CVE-2019-3396來感染系統並植入。這個漏洞今年4月趨勢科技公
告已經有多起網路攻擊事件。

Linux版進入受害系統後以背景執行和C&C伺服器建立加密連線，以利背後的攻擊者更新指
令，還會加密保護其組態檔。在受害系統上Dacls可以做任何事，像是竊取、刪除與執行
檔案或行程、下載攻擊程式、掃瞄目錄結構、建立daemon行程、並上傳其蒐集掃瞄資料及
指令執行結果到C&C伺服器。

CVE-2019-3396已在今年3月由廠商修補，因此安全公司呼籲用戶應儘速安裝升級版，以封
鎖Dacls為害。

Dacls的出現也顯示北韓駭客不斷翻新。上個月安全界才發現一隻Mac版木馬程式已演化為
無檔案（fileless）攻擊手法，也是來自這群駭客。

北韓駭客組織Lazarus能力愈來愈強大。安全研究人員發現，除了Windows、Mac平台外，
現在他們也開發出可駭入Linux平台的遠端存取木馬（Remote Access Trojan，RAT）程式
。

北韓駭客組織Lazarus能力愈來愈強大。安全研究人員發現，除了Windows、Mac平台外，
現在他們也開發出可駭入Linux平台的遠端存取木馬（Remote Access Trojan，RAT）程式
。

安全廠商Netlab 360今年10月發現一款可疑的ELF檔案，經過特徵和行為分析發現，是一
功能齊備、行為隱蔽，而且是同時適用於Windows和Linux的RAT程式，且和北韓駭客組織
Lazarus有關。事實上，它在今年5月就出現，而且也被26款防毒軟體偵測到，但卻鮮為人
知。Net360根據其檔案名及程式內的字串命名為Dacls。

Lazarus被認為是2014年攻擊Sony影業，2017年以WannaCry感染全球，在背後發動攻擊的
北韓駭客組織。

研究人員說，Dacls是一種新型RAT，發展出感染Windows和Linux的版本，兩種版本有同樣
的C&C協定。他們一共發現5隻樣本。Windows模組從遠端URL動態下載，Linux模組則直接
編碼在Bot行程中。Linux.Dacls內有6個模組，包括指令執行、文件與行程管理、網路測
試、C&C連線及網路掃瞄。

研究人員相信它是開採Atlassian Confluence 6.6.12以後版本中的Widget Connector巨
集上的遠端程式執行漏洞CVE-2019-3396來感染系統並植入。這個漏洞今年4月趨勢科技公
告已經有多起網路攻擊事件。

Linux版進入受害系統後以背景執行和C&C伺服器建立加密連線，以利背後的攻擊者更新指
令，還會加密保護其組態檔。在受害系統上Dacls可以做任何事，像是竊取、刪除與執行
檔案或行程、下載攻擊程式、掃瞄目錄結構、建立daemon行程、並上傳其蒐集掃瞄資料及
指令執行結果到C&C伺服器。

CVE-2019-3396已在今年3月由廠商修補，因此安全公司呼籲用戶應儘速安裝升級版，以封
鎖Dacls為害。

Dacls的出現也顯示北韓駭客不斷翻新。上個月安全界才發現一隻Mac版木馬程式已演化為
無檔案（fileless）攻擊手法，也是來自這群駭客。

安全廠商Netlab 360今年10月發現一款可疑的ELF檔案，經過特徵和行為分析發現，是一
功能齊備、行為隱蔽，而且是同時適用於Windows和Linux的RAT程式，且和北韓駭客組織
Lazarus有關。事實上，它在今年5月就出現，而且也被26款防毒軟體偵測到，但卻鮮為人
知。Net360根據其檔案名及程式內的字串命名為Dacls。

Lazarus被認為是2014年攻擊Sony影業，2017年以WannaCry感染全球，在背後發動攻擊的
北韓駭客組織。

研究人員說，Dacls是一種新型RAT，發展出感染Windows和Linux的版本，兩種版本有同樣
的C&C協定。他們一共發現5隻樣本。Windows模組從遠端URL動態下載，Linux模組則直接
編碼在Bot行程中。Linux.Dacls內有6個模組，包括指令執行、文件與行程管理、網路測
試、C&C連線及網路掃瞄。

研究人員相信它是開採Atlassian Confluence 6.6.12以後版本中的Widget Connector巨
集上的遠端程式執行漏洞CVE-2019-3396來感染系統並植入。這個漏洞今年4月趨勢科技公
告已經有多起網路攻擊事件。

Linux版進入受害系統後以背景執行和C&C伺服器建立加密連線，以利背後的攻擊者更新指
令，還會加密保護其組態檔。在受害系統上Dacls可以做任何事，像是竊取、刪除與執行
檔案或行程、下載攻擊程式、掃瞄目錄結構、建立daemon行程、並上傳其蒐集掃瞄資料及
指令執行結果到C&C伺服器。

CVE-2019-3396已在今年3月由廠商修補，因此安全公司呼籲用戶應儘速安裝升級版，以封
鎖Dacls為害。

Dacls的出現也顯示北韓駭客不斷翻新。上個月安全界才發現一隻Mac版木馬程式已演化為
無檔案（fileless）攻擊手法，也是來自這群駭客。

--

半壁河山半攻守

半爭成敗半悟道

許銀川

--