Специалисты Netlab 360 зафиксировали кампанию по распространению ранее неизвестного модульного RAT-трояна, получившего название Dacls. Зловред атакует компьютеры под управлением Windows и Linux через RCE-уязвимость в макросе системы Atlassian Confluence, закрытую еще в марте этого года. Эксперты связывают активность Dacls с деятельностью кибергруппировки Lazarus.

Два варианта трояна Dacls

На файловом сервере злоумышленников исследователи обнаружили несколько вариантов полезной нагрузки. Как выяснили ИБ-специалисты, Windows-версия зловреда доставляется на целевой компьютер при помощи загрузчика, в то время как Dacls для Linux собирается из модулей непосредственно в инфицированной системе. Злоумышленники могут менять функции трояна через набор плагинов, получаемых с командного сервера.

Возможности зловреда по умолчанию включают:

  • чтение, изменение и удаление файлов;
  • создание демон-процессов;
  • загрузку объектов с командного сервера;
  • запуск скриптов, полученных из центра управления;
  • остановку любого активного процесса;
  • тестирование сетевого окружения, доступных портов и IP-адресов.

Адрес C2-сервера, а также файловых хранилищ может динамически меняться. Коммуникация между Dacls и центром управления осуществляется по закрытому каналу, данные шифруются при помощи алгоритма RC4. Файл конфигурации зловреда также закодирован через AES, чтобы предотвратить несанкционированное вмешательство в работу программы и обойти системы защиты.

Аналитики изучили несколько образцов трояна и обнаружили в них фрагменты кода, указывающие на APT-группу Lazarus. Так, некоторые хеш-суммы исполняемых файлов и библиотек Dacls ранее уже замечали в атаках преступников. Протокол взаимодействия зловреда с командным сервером также совпадает с другими их инструментами.

Уязвимость CVE-2019-3396, которую используют злоумышленники для заражения целевых объектов, связана с макросом Widget Connector в мультиплатформенной вики-системе Atlassian Confluence. Злоумышленники часто используют эксплойт для этого бага — к примеру, его активно эксплуатировали в атаках шифровальщика GandCrab весной этого года.

Специалисты отмечают, что поскольку ошибку давно пропатчили, самый эффективный способ защиты от атак Dacls — оперативная установка обновлений безопасности.

Категории: Аналитика, Вредоносные программы, Уязвимости