İran Lycaeum Apt Hacking Group, enerji ve telekomünikasyon sektörlerindeki şirketlere saldırılar yapmak için yeni bir .NET tabanlı DNS arka kapı kullanıyor.
Lyceum, daha önce DNS-Tunneling Backdoors kullanarak Orta Doğu'daki iletişim hizmet sağlayıcılarını hedefleyen heksan veya spilrin olarak da bilinen devlet destekli bir APT'dir.
Zscaler tarafından yapılan yeni bir analiz, "DNS Kaçırma" saldırıları yapmak, komutları yürütmek, daha fazla yük bırakmak ve verileri eklemek için Dig.net açık kaynaklı aracına dayanan yeni bir DNS arka kapı sunar.
DNS kaçırma, Meşru bir siteyi ziyaret etmeye çalışan bir kullanıcıyı tehdit aktörünün kontrolü altındaki bir sunucuda barındırılan kötü niyetli bir klona götürmek için DNS sorgu manipülasyonuna dayanan bir yönlendirme saldırısıdır.
Hesap kimlik bilgileri gibi kötü amaçlı web sitesine girilen bilgiler doğrudan tehdit oyuncusu ile paylaşılacaktır.
Saldırı, bir web sitesinden bir haber sitesi gibi davranan kötü amaçlı bir makro içeren bir Word belgesi ile başlar. Dosya, İran askeri işleri konusuna sahip bir haber raporu olarak maskelenmiştir.
Hedef, içeriği görüntülemek için Microsoft ofislerindeki makroları mümkün kılarsa, DNS arka kapısı yeniden başlatmalar arasında kalıcılık oluşturmak için doğrudan başlangıç klasörüne bırakılır.
Arka kapı "dnssystem.exe" dosya adını kullanıyor ve rakiplerin ihtiyaçlarına göre ayarladığı özelleştirilmiş bir Dig.net sürümüdür.
"Tehdit oyuncusu, özel DNS sunucusuna çeşitli kayıtlar için DNS sorguları gerçekleştirmelerine olanak tanıyan, sistem komutlarını uzaktan yürütmek için sorgunun yanıtını ayrıştırmalarını ve kaldırarak dosyaları yüklemelerine/indirerek özelleştirilmiş ve eklenmiş kodlara sahiptir. DNS Protokolü. " - zscaler
Kötü amaçlı yazılım, "CyberClub [.] Bir" alanının IP adresini alarak DNS Kaçma Sunucusunu kurar ve benzersiz bir kurban kimliği olarak hizmet etmek için kurbanın kullanıcı adına dayanan bir MD5 üretir.
DNS kaçırma saldırılarını gerçekleştirmenin yanı sıra, arka kapı da tehlikeye atılan makinede yürütmek için C2'den komutlar alabilir. Yanıtlar TXT kayıtları biçimine sahiptir.
Bu komutlar CMD.EXE aracı (Windows Komut İstemi) aracılığıyla çalıştırılır ve çıktı DNS A kayıt olarak C2'ye geri gönderilir.
Ayrıca, arka kapı yerel dosyaları C2'ye ekspiltrat edebilir veya uzak bir kaynaktan dosyaları indirebilir ve ek yükler bırakabilir.
Lyceum, siber casusluğa odaklanan bir grup hacker ve bu yeni gizli ve güçlü arka kapı, alandaki evrimlerinin işaretidir.
İranlı korsanların, genellikle ülkeden birden fazla tehdit grubunu içeren bu bilgi toplama kampanyalarına katılmaya devam etmesi bekleniyor.
Bununla birlikte, yeni DNS manipülasyon hileleri kadar güçlü, ilk enfeksiyon hala her zaman nihai şüphe ile muamele edilmesi gereken bir istek olan ofis paketinde makroların etkinleştirilmesini gerektirir.
Yeni Syslogk Linux rootkit, arka kapıyı tetiklemek için sihirli paketler kullanıyor
Galyum bilgisayar korsanları arka kapı finansmanı, yeni pingpull kötü amaçlı yazılım kullanan govt orgs
Pypi Paketi 'Keep' yanlışlıkla bir şifre çalma dahil
Linux Botnets artık kritik Atlassian Confluence Bug'dan yararlanıyor
Zehirlenmiş CCleaner Arama Sonuçları Bilgi Çalma Kötü Yazılım Yayılıyor
Kaynak: Bleeping Computer