APT Иран бэкдор DNS Lyceum
Группировка Lyceum использует DNS-бэкдор на основе DIG.net для перехвата DNS, выполнения команд и пр.
Иранская APT-группа Lyceum вооружилась новым DNS-бэкдором на .NET и теперь атакует энергетические и телекоммуникационные компании.
Lyceum – финансируемая правительством хакерская группировка, также известная как Hexane и Spilrin, которая специализируется на кибершпионаже. Раньше она атаковала операторов связи в странах Среднего Востока с помощью бэкдоров для DNS-туннелирования.
Однако специалисты компании Zscaler обнаружили , что теперь группировка начала использовать новый DNS-бэкдор на основе инструмента с открытым исходным кодом DIG.net для перехвата DNS (DNS hijacking), выполнения команд, загрузки дополнительной полезной нагрузки и похищения данных.
Перехват DNS – это кибератака, при которой злоумышленник манипулирует DNS-запросами с целью переадресовать пользователя, пытающегося попасть на легитимный сайт, на его вредоносный «клон» с хостингом на сервере, подконтрольном злоумышленнику. Любая информация, которую пользователь введет на поддельном ресурсе (например, учетные данные), отправятся прямиком к атакующему.
Атака начинается с загрузки жертвой документа Word с вредоносными макросами с сайта, выдаваемого хакерами за настоящий новостной ресурс. Документ замаскирован под новостное сообщение, связанное с иранскими военными.
Если жертва активирует макросы в своем Microsoft Office, чтобы просмотреть документ, непосредственно в папку «Автозагрузка» загрузится DNS-бэкдор, обеспечивающий хакерам присутствие на системе, независимо от ее перезагрузки.
Бэкдор использует имя файла DnsSystem.exe и представляет собой кастомизированную версию DIG.net, подогнанную хакерами под свои нужды.
Вредонос настраивает сервер для перехвата DNS путем приобретения IP-адреса домена cyberclub[.]one и генерирует MD5 на основе имени пользователя, играющий роль уникального идентификатора жертвы.
Осуществив перехват DNS, бэкдор может получать команды от C&C-сервера для выполнения на скомпрометированной машине. Ответ представлен в виде записи TXT.
Команды запускаются с помощью инструмента cmd.exe, и исходящие данные отправляются обратно на C&C-сервер в виде записи DNS A. Вдобавок бэкдор может похищать локальные файлы и отправлять их на C&C-сервер или загружать файлы с удаленного ресурса и загружать дополнительные файлы.
SECURITYLAB.RU