Иранская APT-группа Lyceum вооружилась новым DNS-бэкдором на .NET и теперь атакует энергетические и телекоммуникационные компании.
Lyceum .NET DNS Backdoor
Lyceum - также известная как Hexane и Spilrin, которая специализируется на кибершпионаже. Раньше она атаковала операторов связи на Ближнем Востоке с помощью бэкдоров для туннелирования DNS.
Ключевые особенности этой атаки:
- Новая вредоносная программа представляет собой DNS-бэкдор на базе .NET, который является адаптированной версией инструмента с открытым исходным кодом "DIG.net".
- Вредоносная программа использует технику DNS-атак под названием "DNS Hijacking", при которой контролируемый злоумышленником DNS-сервер манипулирует ответами DNS-запросов и разрешает их в соответствии со своими вредоносными требованиями.
- Вредоносная программа использует протокол DNS для командно-административной связи (C2), что повышает скрытность и делает коммуникационные зонды вредоносной программы незаметными, чтобы избежать обнаружения.
- Включает такие функции, как загрузка/выгрузка файлов и выполнение системных команд на зараженном компьютере путем злоупотребления записями DNS, включая записи TXT для входящих команд и записи A для утечки данных.
Zscaler обнаружил, что теперь группа начала использовать новый DNS-бэкдор на основе инструмента DIG.net с открытым исходным кодом для перехвата DNS (DNS hijacking), выполнения команд, загрузки дополнительной полезной нагрузки и кражи данных.
Перехват DNS - это кибер-атака, при которой злоумышленник манипулирует DNS-запросами, чтобы перенаправить пользователя, пытающегося попасть на легитимный сайт, на его вредоносный "клон" с хостингом на сервере, контролируемом злоумышленником. Любая информация, которую пользователь вводит на поддельном ресурсе (например, учетные данные), попадает прямо к злоумышленнику.
Атака начинается с того, что жертва загружает документ Word с вредоносными макросами с сайта, выдаваемого хакерами за настоящий новостной ресурс. Документ замаскирован под новостной отчет, связанный с иранскими военными.
Если жертва активирует макросы в своем Microsoft Office для просмотра документа, DNS-бэкдор будет загружен прямо в папку Startup, что гарантирует присутствие хакеров в системе, независимо от ее перезагрузки.
Бэкдор использует файл dnsSystem name.exe и представляет собой адаптированную версию DIG.net, приспособленную хакерами под свои нужды.
Вредоносная программа настраивает сервер на перехват DNS путем покупки IP-адреса домена cyberclub[.] one и генерирует md5 на основе имени пользователя, которое выступает в качестве уникального идентификатора жертвы.
Перехватывая DNS, бэкдор может получать команды от сервера C&C для выполнения на скомпрометированной машине. Ответ представляется в виде записи TXT.
Команды выполняются с помощью инструмента cmd.exe, а выходные данные отправляются обратно на сервер C&C в виде записи DNS A. Кроме того, бэкдор может похищать локальные файлы и отправлять их на C&C-сервер или скачивать файлы с удаленного ресурса и загружать дополнительные файлы.
Indicators of Compromise
Domains
- cyberclub.one
URLs
- http://news-spot.live/Reports/1/?id=1111&pid=a52
- http://news-spot.live/Reports/1/?id=1111&pid=a28
- http://news-spot.live/Reports/1/?id=1111&pid=a40
- http://news-spot.live/Reports/1/45/DnsSystem.exe
MD5
- 13814a190f61b36aff24d6aa1de56fe2
- 8199f14502e80581000bd5b3bda250ee