هکرهای ایرانی با استفاده از بدافزار جدید DNS Hijacking در حملات اخیر


به این مطلب امتیاز دهید

هکر ایرانی تحت حمایت دولت ایران که تحت نام Lyceum شناخته می‌ شود، در کمپین‌ های اخیر علیه خاورمیانه به استفاده از درب پشتی جدید مبتنی بر .NET روی آورده است.

Niraj Shivtarkar و Avinash Kumar، محققان Zscaler ThreatLabz در گزارشی که هفته گذشته منتشر شد، گفتند: “بدافزار جدید یک DNS Backdoor مبتنی بر .NET است که نسخه سفارشی شده یک ابزار Open Source به نام “DIG.net” است.

“این بدافزار از تکنیک حمله DNS به نام “DNS Hijacking” استفاده می کند که در آن یک سرور DNS کنترل شده توسط مهاجم، پاسخ Query های DNS را دستکاری می کند و آنها را بر اساس نیاز های مخرب خود Resolves می کند.”

DNS Hijacking یک حمله تغییر مسیر است که در آن Query های DNS به وب‌ سایت‌ های واقعی رهگیری می‌ شوند تا یک کاربر را به صفحات تقلبی تحت کنترل هکر ببرند. برخلاف Cache Poisoning، حمله DNS Hijacking رکورد DNS وب‌ سایت را در Name Server هدف قرار می‌ دهد

Lyceum که با نام‌ های Hexane، Spirlin یا Siamesekitten نیز شناخته می‌ شود، عمدتاً به‌ خاطر حملات سایبری خود در خاورمیانه و آفریقا شناخته می‌ شود.

آخرین زنجیره آلودگی شامل استفاده از یک سند macro-laced مایکروسافت است که از دامنه ای به نام «news-spot[.]live دانلود شده است، که جعل گزارش خبری مشروع از رادیو اروپای آزاد/رادیو آزادی درباره حملات هواپیما های بدون سرنشین ایران در دسامبر 2021 است.

فعال کردن ماکرو منجر به اجرای یک کد مخرب می‌ شود که Implant را در پوشه راه‌ اندازی ویندوز Drop می‌ کند تا اطمینان حاصل شود که هر بار که سیستم دوباره راه‌ اندازی می‌ شود به طور خودکار اجرا می‌ شود.

درپشتی .NET DNS به Lyceum امکان می دهد پاسخ های DNS صادر شده از سرور DNS (“cyberclub[.]one”) را تجزیه و تحلیل کند و انجام دهد.

این بدافزار علاوه بر سوء استفاده از پروتکل DNS برای ارتباطات فرمان و کنترل (C2) برای فرار از شناسایی، برای آپلود و دانلود فایل های دلخواه از سرور راه دور و همچنین اجرای دستورات سیستم مخرب از راه دور بر روی میزبان در معرض خطر مجهز شده است.

محققان گفتند: “بازیگران تهدید APT به طور مداوم تاکتیک ها و بدافزار های خود را برای انجام موفقیت آمیز حملات علیه اهداف خود توسعه می دهند. مهاجمان به طور مداوم از ترفند های ضد تجزیه و تحلیل جدید برای فرار از راه حل های امنیتی استفاده می کنند.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.