Lyceum .NET DNS Backdoor IOCs

Иранская APT-группа Lyceum вооружилась новым DNS-бэкдором на .NET и теперь атакует энергетические и телекоммуникационные компании.

Lyceum .NET DNS Backdoor

Lyceum - также известная как Hexane и Spilrin, которая специализируется на кибершпионаже. Раньше она атаковала операторов связи на Ближнем Востоке с помощью бэкдоров для туннелирования DNS.

Ключевые особенности этой атаки:

  • Новая вредоносная программа представляет собой DNS-бэкдор на базе .NET, который является адаптированной версией инструмента с открытым исходным кодом "DIG.net".
  • Вредоносная программа использует технику DNS-атак под названием "DNS Hijacking", при которой контролируемый злоумышленником DNS-сервер манипулирует ответами DNS-запросов и разрешает их в соответствии со своими вредоносными требованиями.
  • Вредоносная программа использует протокол DNS для командно-административной связи (C2), что повышает скрытность и делает коммуникационные зонды вредоносной программы незаметными, чтобы избежать обнаружения.
  • Включает такие функции, как загрузка/выгрузка файлов и выполнение системных команд на зараженном компьютере путем злоупотребления записями DNS, включая записи TXT для входящих команд и записи A для утечки данных.

Zscaler обнаружил, что теперь группа начала использовать новый DNS-бэкдор на основе инструмента DIG.net с открытым исходным кодом для перехвата DNS (DNS hijacking), выполнения команд, загрузки дополнительной полезной нагрузки и кражи данных.

Перехват DNS - это кибер-атака, при которой злоумышленник манипулирует DNS-запросами, чтобы перенаправить пользователя, пытающегося попасть на легитимный сайт, на его вредоносный "клон" с хостингом на сервере, контролируемом злоумышленником. Любая информация, которую пользователь вводит на поддельном ресурсе (например, учетные данные), попадает прямо к злоумышленнику.

Атака начинается с того, что жертва загружает документ Word с вредоносными макросами с сайта, выдаваемого хакерами за настоящий новостной ресурс. Документ замаскирован под новостной отчет, связанный с иранскими военными.

Если жертва активирует макросы в своем Microsoft Office для просмотра документа, DNS-бэкдор будет загружен прямо в папку Startup, что гарантирует присутствие хакеров в системе, независимо от ее перезагрузки.

Бэкдор использует файл dnsSystem name.exe и представляет собой адаптированную версию DIG.net, приспособленную хакерами под свои нужды.

Вредоносная программа настраивает сервер на перехват DNS путем покупки IP-адреса домена cyberclub[.] one и генерирует md5 на основе имени пользователя, которое выступает в качестве уникального идентификатора жертвы.

Перехватывая DNS, бэкдор может получать команды от сервера C&C для выполнения на скомпрометированной машине. Ответ представляется в виде записи TXT.

Команды выполняются с помощью инструмента cmd.exe, а выходные данные отправляются обратно на сервер C&C в виде записи DNS A. Кроме того, бэкдор может похищать локальные файлы и отправлять их на C&C-сервер или скачивать файлы с удаленного ресурса и загружать дополнительные файлы.

Indicators of Compromise

Domains

  • cyberclub.one

URLs

  • http://news-spot.live/Reports/1/?id=1111&pid=a52
  • http://news-spot.live/Reports/1/?id=1111&pid=a28
  • http://news-spot.live/Reports/1/?id=1111&pid=a40
  • http://news-spot.live/Reports/1/45/DnsSystem.exe

MD5

  • 13814a190f61b36aff24d6aa1de56fe2
  • 8199f14502e80581000bd5b3bda250ee
SEC-1275-1
Добавить комментарий