Dacls

Lazarus Group使用Dacls RAT攻击Linux平台

背景介绍 2019年10月25号,360Netlab未知威胁检测系统发现一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812)。一开始,我们以为这是在我们发现的Unknown Botnet中比较平凡的一个,并且在那时候VirusTotal上有2款杀毒引擎能够识别。当我们关联分析它的相关样本特征和IoC时,我们发现这个案例跟Lazarus Group有关,并决定深入分析它。 目前,业界也从未公开过关于Lazarus Group针对Linux平台的攻击样本和案例。通过详细的分析,我们确定这是一款功能完善,行为隐蔽并适用于Windows和Linux平台的RAT程序,并且其幕后攻击者疑似Lazarus Group。 事实上,这款远程控制软件相关样本早在2019年5月份就已经出现,目前在VirusTotal上显示被26款杀毒软件厂商识别为泛型的恶意软件,但它还是不为人所知,我们也没有找到相关分析报告。所以,我们会详细披露它的一些技术特征,并根据它的文件名和硬编码字符串特征将它命名为Dacls。 Dacls 概览 Dacls是一款新型的远程控制软件,包括Windows和Linux版本并共用C2协议,我们将它们分别命名为Win32.

  • jinye
    jinye
  • Genshen Ye
    Genshen Ye
16 min read