APT “Lazarus” ataca a Linux y Windows

20 Diciembre 2019
Alto

Los investigadores de NetLab360 descubrieron un troyano de acceso remoto completamente funcional previamente desconocido como "Dacls" del grupo de hackers Lazarus APT para atacar las plataformas Linux y Windows. Es primera vez que la industria de seguridad observa malware atribuido al grupo Lazarus para atacar la plataforma Linux, y las muestras solo han sido detectadas por 2 motores de antivirus.

Los atacantes desarrollaron este nuevo tipo de troyano de acceso remoto con la funcionalidad completa para infectar tanto Windows como Linux y los investigadores lo nombraron Win32.Dacls y Linux.Dacls. El módulo de complemento Win32.Dacls se carga dinámicamente a través de una URL remota y Linux.Dacls utilizando 6 módulos de complemento diferentes que incluyen, ejecutar comandos, gestión de archivos, gestión de procesos, acceso a la red de prueba, agente de conexión C2, escaneo de red.

Los investigadores también confirmaron que el Grupo Lazarus utilizó la vulnerabilidad CVE-2019-3396 N-day (vulnerabilidades conocidas) para difundir el programa Dacls Bot. El RAT multiplataforma de Dacls y su protocolo C2 utilizan el cifrado de doble capa TLS y RC4, el archivo de configuración utiliza el cifrado AES y admite la actualización dinámica de la instrucción C2.

Se recomienda lo siguiente: 

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Escanear todos los archivos adjuntos antes de abrirlos, con un antivirus organizacional que detecte algún comportamiento sospechoso.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Evitar visitar sitios web inseguros, así como la descarga de software ilegal ya que existe una alta probabilidad que puedan infectarse por algún malware.

Tags: #Windows #Linux #Lazarus #Dacls #Troyano #Malware


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.