Indicadores de compromiso asociados a Dacls RAT
- Publicado: 20/12/2019
- Importancia: Baja
- Recursos afectados
Lazarus Group desarrolló este nuevo troyano de acceso remoto con la capacidad de instalarse tanto en sistemas operativos Windows como en sistemas operativos Linux; en los sistemas Windows se descarga a través de una URL remota, en sistemas Linux utiliza seis módulos diferentes los cuales incluyen:
- Ejecutar comandos.
- Gestión de archivos.
- Gestión de procesos.
- Acceso a la red de prueba.
- Agente de conexión a servidor C2 [Comando y Control].
- Escaneo de red.
Es la primera vez que Lazarus Group ataca a sistemas Linux, con lo cual amplía su campo de acción.
Investigadores indican que para ejecutar este ataque se podría estar explotando una vulnerabilidad de los servidores Confluence de la empresa Atlassian. Todos aquellos usuarios de Confluence que no hayan actualizado el sistema podrían ser víctimas del ataque de Lazarus.
Este es un breve resumen por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected]
- Etiquetas