Группа, стоящая за атаками системы доменных имен, известная как DNSpionage, усилила свои мрачные действия с помощью новых инструментов и вредоносных программ, чтобы сосредоточить свои атаки и лучше скрыть свою деятельность.
Исследователи безопасности Cisco Talos, обнаружившие DNSpionage в ноябре, на этой неделе предупредили о новых подвигах и возможностях гнусной кампании.
«Продолжающаяся разработка вредоносного ПО DNSpionage для субъекта угрозы показывает, что злоумышленник продолжает находить новые способы избежать обнаружения. Туннелирование DNS является популярным методом эксфильтрации для некоторых участников, и недавние примеры DNSpionage показывают, что мы должны гарантировать, что DNS контролируется так же тщательно, как обычный прокси-сервер организации или веб-блоги », - пишет Талос.
«DNS - это, по сути, телефонная книга Интернета, и, когда она подделана, кому-то становится трудно определить, является ли то, что они видят в Интернете, законным».
В первоначальном отчете Талоса исследователи сказали, что кампания DNSpionage была нацелена на различные компании на Ближнем Востоке, а также на правительственные домены Объединенных Арабских Эмиратов. Он также использовал два вредоносных веб-сайта, содержащих объявления о вакансиях, которые использовались для компрометации целей с помощью специально созданных документов Microsoft Office со встроенными макросами. Вредонос поддерживает связь HTTP и DNS с злоумышленниками.
В отдельной кампании DNSpionage злоумышленники использовали один и тот же IP-адрес для перенаправления DNS законных доменов .gov и частных компаний. Во время каждой компрометации DNS субъект тщательно генерировал сертификаты «Let's Encrypt» для перенаправленных доменов. По словам Талоса, эти сертификаты предоставляют пользователям сертификаты X.509 для безопасности транспортного уровня (TLS) бесплатно.
На этой неделе Cisco заявила, что разработчики DNSpionage создали новый инструмент удаленного администрирования, который поддерживает HTTP и DNS-связь с командованием и контролем злоумышленников (C2).
«В нашем предыдущем посте, касающемся DNSpionage, мы показали, что автор вредоносного ПО использовал вредоносные макросы, встроенные в документ Microsoft Word. В новом образце из Ливана, обнаруженном в конце февраля, злоумышленник использовал документ Excel с похожим макросом ».
Талос писал:
«Вредонос поддерживает связь HTTP и DNS с сервером C2. HTTP-связь скрыта в комментариях в HTML-коде. Однако на этот раз сервер C2 имитирует платформу GitHub, а не Википедию. В то время как обмен данными по DNS происходит по тому же методу, который мы описали в нашей предыдущей статье, разработчик добавил некоторые новые функции в этой последней версии, и на этот раз удалил режим отладки ».
Талос добавил, что домен, используемый для кампании C2, «странный».
«Предыдущая версия DNSpionage пыталась использовать легитимно-выглядящие домены, пытаясь остаться незамеченными. Однако в этой более новой версии используется домен «coldfart [.] Com», который будет легче обнаружить, чем другие кампании APT, которые обычно пытаются смешаться с трафиком, более подходящим для корпоративных сред. Домен также был размещен в США, что необычно для любой шпионской атаки ».
Исследователи Talos заявили, что обнаружили, что DNSpionage добавил фазу разведки, которая гарантирует, что полезная нагрузка будет отбрасываться на конкретные цели, а не беспорядочно загружаться на каждую машину.
Этот уровень атаки также возвращает информацию о среде рабочей станции, в том числе информацию о платформе, имя домена и локального компьютера, а также информацию об операционной системе, — пишет Талос.
Эта информация является ключевой для того, чтобы помочь вредоносному ПО выбрать только жертв и попытаться избежать слежений или «песочниц». Опять же, он показывает улучшенные способности разработчика, так как они теперь снимают отпечаток жертвы.
Эта новая тактика указывает на повышенный уровень сложности и, вероятно, в ответ на значительный интерес общественности к кампании.
Талос отметил, что было несколько других публичных сообщений об атаках DNSpionage, и в январе Министерство внутренней безопасности США выпустило предупреждение, предупреждающее пользователей об этой угрозе.
«Помимо увеличения количества сообщений об угрозах, мы также обнаружили новые свидетельства того, что субъекты угроз, стоящие за кампанией DNSpionage, продолжают менять свою тактику, вероятно, в попытке повысить эффективность своих операций», - заявил Талос.
В апреле Cisco Talos обнаружил недокументированное вредоносное ПО, разработанное в .NET. На анализируемых образцах автор вредоносного программного обеспечения оставил два разных внутренних имени в виде простого текста: «DropperBackdoor» и «Karkoff».
«Вредоносное ПО имеет меньший вес по сравнению с другими вредоносными программами благодаря небольшому размеру и позволяет удаленно выполнять код с сервера C2. Там нет запутывания, и код может быть легко разобран », - написал Талос.
Вредоносная программа Karkoff ищет две конкретные антивирусные платформы: Avira и Avast и будет обходить их.
«Обнаружение Каркоффа также показывает, что разработчик разворачивается и все чаще пытается избежать обнаружения, оставаясь при этом очень сосредоточенным на ближневосточном регионе», - пишет Талос.
Талос отличил DNSpionage от другого метода DNS-атаки «Морская черепаха», который был подробно описан в этом месяце. В «Морской черепахе» участвуют спонсируемые государством злоумышленники, которые используют DNS для нацеливания на организации и получения учетных данных, получения доступа к чувствительным сетям и системам способом, который жертвы не могут обнаружить. Это показывает уникальные знания о том, как манипулировать DNS, — заявил Талос.
Получив контроль над DNS жертв, злоумышленники могут изменять или подделывать любые данные, получаемые жертвами из Интернета, незаконно изменять записи имен DNS, чтобы пользователи указывали на серверы, контролируемые субъектами, а пользователи, посещающие эти сайты, никогда не узнают, сообщил Талос.
«Хотя этот инцидент ограничен главным образом нападениями на организации национальной безопасности на Ближнем Востоке и в Северной Африке, и мы не хотим преувеличивать последствия этой конкретной кампании, мы обеспокоены тем, что успех этой операции приведет к более широкому нападению на участников глобальной системы DNS », - сказал Талос о Sea Turtle.
================================================================== Если хочешь видеть еще больше полезного и познавательного материала — подписывайся на мой канал, а так же группу Вконтакте😉 → THE SUPERNOVA CHANNEL