DACLS, Malware Baru Grup Lazarus yang Menargetkan Linux
Ilustrasi
Cyberthreat.id - Grup Advanced Persistent Threat (APT) Lazarus diperkirakan telah menggunakan Malware baru yang mengincar sistem Linux. Malware ini adalah Trojan Remote Access (RAT), juga dijuluki DACL yang juga dapat berdampak pada perangkat Windows.
Lazarus juga dikenal sebagai HIDDEN COBRA semakin terkenal pada 2014 dan 2015. Sebenarnya grup ini sudah aktif sejak 2009 dan biasanya menggunakan Malware yang dirancang khusus dalam serangan mereka.
Beberapa serangan besar termasuk serangan Ransomware WannaCry dan peretasan Sony Pictures disebut-sebut dilakukan oleh Lazarus. Bahkan fasilitas nuklir pembangkit listrik di India pada Agustus lalu juga sempat menjadi target serangan Lazarus.
"DACLS diduga merupakan Malware pertama yang digunakan grup ini untuk menargetkan sistem Linux," tulis laporan Cyware Hacker News, Kamis (19 Desember 2019).
RAT DACLS dapat melakukan beberapa fungsi termasuk pemindaian jaringan (network scanning), eksekusi perintah (command execution), manajemen file, manajemen proses, dan banyak lagi.
1. Nama file dan string yang dikodekan berkontribusi pada namanya, 'DACLS'.
2. Saat meluncurkan serangan terhadap sistem Windows, RAT ini memuat plugin secara dinamis dari jarak jauh. Dalam kasus sistem Linux, ia mengkompilasi plugin dalam program bot.
3. Untuk menghindari koneksi langsung ke infrastruktur penyerang, Malware ini memiliki plug-in P2P terbalik yang bertindak sebagai C2 Connection Proxy dan merutekan lalu lintas antara bot dan server C2.
Para peneliti di Qihoo 360 Netlab yang meneliti cara kerja Malware ini berspekulasi bahwa kelompok Lazarus sedang mengeksploitasi kerentanan CVE-2019-3396 untuk menyuntikkan Malware DACLS pada server Confluence yang tidak dititipkan.
Apa yang bisa dilakukan pengguna?
Pengguna disarankan untuk segera menambal sistem (patch) sesegera mungkin untuk menghindari ancaman dari DACLS RAT. Selain itu, pengguna dapat memeriksa apakah mereka sudah terinfeksi oleh Malware. IoC yang disediakan oleh para peneliti juga dapat dipantau dan diblokir sebagai tindakan pencegahan.
