กลุ่ม Lazarus มีมัลแวร์ตัวใหม่ Dacls โจมตีทั้ง Linux และ Windows
Qihoo 360 Netlab พบมัลแวร์ Remote Access Trojan (RAT) ตัวใหม่ชื่อ Dacls ทำงานทั้งบน Windows และ Linux ซึ่งมัลแวร์ตัวนี้มีความเชื่อมโยงกับกลุ่ม Lazarus ที่ถูกสนับสนุนโดยรัฐบาลเกาหลีเหนือ กลุ่มนี้เป็นรู้จักในการแฮก Sony Films ในปี 2014 และเป็นเบื้องหลังในการระบาด WannaCry ไปทั่วโลกในปี 2017 อีกด้วย
นี่เป็นครั้งแรกที่พบมัลแวร์ที่ทำงาน Linux จากกลุ่ม Lazarus โดย Qihoo 360 Netlab เชื่อมโยงความเกี่ยวข้องระหว่าง Dacls กับกลุ่ม Lazarus จากการใช้งาน thevagabondsatchel[.]com ซึ่งเคยมีประวัติว่าถูกใช้งานโดยกลุ่ม Lazarus ในอดีต
Dacls ใช้ TLS และ RC4 ในการเข้ารหัสสองชั้นเพื่อรักษาความปลอดภัยในการสื่อสารกับ command and control (C2) รวมถึงใช้ AES encryption ในการเข้ารหัสไฟล์ตั้งค่า
นักวิจัยพบ Dacls สำหรับ Windows และ Linux พร้อมทั้งโค้ดสำหรับโจมตีช่องโหว่ CVE-2019-3396 ใน Atlassian Confluence บนเซิร์ฟเวอร์ บ่งชี้ถึงความเป็นไปได้ว่ากลุ่ม Lazarus จะใช้ช่องโหว่ดังกล่าวติดตั้ง Dacls นักวิจัยจึงแนะนำให้ผู้ใช้ Confluence ทำการแพตช์ระบบให้เร็วที่สุดเท่าที่จะทำได้
สามารถอ่านรายงานวิเคราะห์ Dacls และดูข้อมูล IOC ได้จาก https://blog.