Hackers behind DNSpionage create a new tool for remote administration to connect C2 server via HTTP and DNS |
الجهات الفاعلة التي تهدد حملة البرامج الضارة الجديدة ، أنشأ DNSpionage أداة إدارية جديدة عن بُعد تدعم اتصال HTTP و DNS مع خادم C&C يعمل بواسطة المهاجمين.
استنادًا إلى حادثة حدثت مؤخرًا ، قامت حملة اختراق DNSpionage التي تم تطويرها وتشغيلها بواسطة مجموعة اختراق APT 34 لتنفيذ MITM Attack لسرقة تفاصيل المصادقة من خلال Hackacking the DNS .
استخدم مؤلفو البرامج الضارة الذين يقفون وراء هذه الحملة بشكل مستمر تكتيكات جديدة لتجنب الكشف عن نسبة الإصابة وزيادة نسبة نجاحها وتهديد الأهداف.
في حملة DNSpionage الجديدة هذه ، قام ممثلو Threat بتطوير برنامج ضار جديد يسمى "Karkoff.
عملية العدوى والاتصالات
في المرحلة الأولى من هذه الموجة الجديدة ، استخدم المهاجمون مستند Excel مع ماكرو ويقومون بنشر أداة الإدارة عن بُعد المطورة حديثًا والتي تدعم اتصالات HTTP و DNS إلى خادم C2.
أضاف ممثل التهديد مرحلة استطلاع للتأكد من إسقاط الحمولة على أهداف محددة.
يبحث المستقبل الذي تم إضافته ضمن هذا البرنامج الضار عن برنامجين لمكافحة الفيروسات
Avira و Avast وتحقق من تثبيت أي من منتجات الأمان هذه على النظام وإنهاء العملية إذا كانت النتيجة إيجابية.
وفقًا لتقرير Talos ، ترك مؤلف البرامج الضارة Te اسمين داخليين مختلفين في نص عادي: "DropperBackdoor" و "Karkoff" ، البرامج الضارة خفيفة الوزن مقارنة بالبرامج الضارة الأخرى بسبب صغر حجمها وتسمح بتنفيذ التعليمات البرمجية عن بُعد من خادم C2.
أثناء مرحلة الاتصال بخادم C2 ، تستخدم البرامج الضارة إما مجال أو عنوان IP كما أنها تدعم كلاً من اتصالات HTTP و HTTPS.
من أجل تشويش اتصال خادم C2 والبرامج الضارة باستخدام تشفير base64 ، وكذلك استخدام وظيفة XOR لعمليات التشويش الأخرى.
استنادًا إلى الجدول الزمني للهجمات المرصودة والتداخل في استخدام بروتوكول الإنترنت أثناء حملة DNSpionage ، يعتقد الباحثون أن نفس الممثل يستخدم عينات Karkoff و DNSpionage.
"هناك أيضًا أدلة مشابهة تشير إلى أن DNSpionage قد يكون جزءًا من OilRig وحددنا لوحة C2 باسم" Scarecrow "، لكننا لم نحدد الإشارات إلى هذه اللوحة في التسرب. الضحايا في لقطة الشاشة هم أساسًا من لبنان ، وهو أحد المناطق التي استهدفتها DNSpionage و Karkoff "Talos Said".
"إن اكتشاف كاركوف يظهر أيضًا أن الممثل يقوم بدور محوري ويحاول بشكل متزايد تجنب اكتشافه مع الاستمرار في التركيز بشكل كبير على منطقة الشرق الأوسط".
أيضًا ، أصدرت وزارة الأمن الداخلي (DHS) تنبيهًا بشأن حملة اختطاف نظام أسماء النطاقات تطلب من جميع الوكالات الأمريكية التحقق مما إذا كانت نطاقات .gov أو النطاقات التي تديرها الوكالة تعمل على حل عناوين IP الصحيحة أم لا.