Ο υποστηριζόμενος από το ιρανικό κράτος απειλητικός παράγοντας που παρακολουθείται με το όνομα Lyceum έχει στραφεί στη χρήση ενός νέου custom backdoor που βασίζεται σε .NET σε πρόσφατες εκστρατείες που στρέφονται κατά της Μέσης Ανατολής.
Δείτε επίσης: Νέο Linux rootkit malware Syslogk: Ποια τα χαρακτηριστικά του
«Το νέο malware είναι ένα DNS Backdoor που βασίζεται σε .NET, το οποίο είναι μια προσαρμοσμένη έκδοση του εργαλείου ανοιχτού κώδικα «DIG.net»», δήλωσαν οι ερευνητές του Zscaler ThreatLabz, Niraj Shivtarkar και Avinash Kumar, σε μια έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα.
“Το malware αξιοποιεί μια τεχνική επίθεσης DNS που ονομάζεται “DNS Hijacking”, στην οποία ένας DNS server που ελέγχεται από εισβολέα χειρίζεται την απόκριση των DNS queries και τα επιλύει σύμφωνα με τις κακόβουλες απαιτήσεις του.”
Δείτε επίσης: Ρώσοι hackers στοχοποιούν την Ουκρανία με Follina exploits
Το DNS hijacking είναι μια επίθεση ανακατεύθυνσης κατά την οποία τα DNS queries σε γνήσιους ιστότοπους παρεμποδίζονται για να οδηγήσουν έναν ανυποψίαστο χρήστη σε δόλιες σελίδες υπό τον έλεγχο ενός adversary. Σε αντίθεση με το cache poisoning, το DNS hijacking στοχεύει το DNS record του ιστότοπου στον nameserver και όχι στη μνήμη cache ενός resolver.
Η ομάδα Lyceum, γνωστή και ως Hexane, Spirlin ή Siamesekitten, είναι κυρίως γνωστή για τις κυβερνοεπιθέσεις της στη Μέση Ανατολή και την Αφρική. Νωρίτερα μέσα στην χρονιά, η σλοβακική εταιρεία κυβερνοασφάλειας ESET συνέδεσε τις δραστηριότητές της με έναν άλλο απειλητικό παράγοντα που ονομάζεται OilRig (γνωστός και ως APT34).
Η πιο πρόσφατη αλυσίδα μόλυνσης περιλαμβάνει τη χρήση ενός εγγράφου της Microsoft με μακροεντολή που έχει ληφθεί από ένα domain με το όνομα “news-spot[.]live”, που υποδύεται μια νόμιμη αναφορά ειδήσεων από το Radio Free Europe/Radio Liberty σχετικά με τις επιθέσεις με μη επανδρωμένα drones του Ιράν τον Δεκέμβριο του 2021.
Η ενεργοποίηση της μακροεντολής έχει ως αποτέλεσμα την εκτέλεση ενός κομματιού κακόβουλου κώδικα που ρίχνει το implant στον φάκελο εκκίνησης των Windows για να εδραιωθεί το persistence και να διασφαλιστεί ότι εκτελείται αυτόματα κάθε φορά που γίνεται επανεκκίνηση του συστήματος.
Το backdoor .NET DNS, που ονομάστηκε DnsSystem, είναι μια ανανεωμένη παραλλαγή του εργαλείου resolver DNS ανοιχτού κώδικα DIG.net, που επιτρέπει στον χειριστή της Lyceum να αναλύει τις απαντήσεις DNS που εκδίδονται από τον server DNS (“cyberclub[.]one”) και να πραγματοποιεί τους στόχους του.
Εκτός από την κατάχρηση του πρωτοκόλλου DNS για επικοινωνίες command-and-control (C2) για την αποφυγή εντοπισμού, το malware είναι εξοπλισμένο να ανεβάζει και να κατεβάζει arbitrary αρχεία από και προς τον απομακρυσμένο server καθώς και να εκτελεί εντολές κακόβουλου συστήματος εξ αποστάσεως στον παραβιασμένο host.
Δείτε επίσης: Η ομάδα Gallium στοχεύει κυβερνητικές υπηρεσίες με το νέο PingPull RAT
«Οι απειλητικοί φορείς APT εξελίσσουν συνεχώς τις τακτικές και το malware τους για να πραγματοποιήσουν επιτυχώς επιθέσεις εναντίον των στόχων τους», δήλωσαν οι ερευνητές. «Οι επιτιθέμενοι χρησιμοποιούν συνεχώς νέα κόλπα κατά της ανάλυσης για να αποφύγουν τις λύσεις ασφαλείας, του re-packaging του malware καθιστά τη στατική ανάλυση ακόμη πιο δύσκολη».
Πηγή πληροφοριών: thehackernews.com
