هکر‌های ایرانی، مهاجمان بخش انرژی با backdoor جدید DNS

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir iranian hackers target energy sector with new dns backdoor
بنا بر ادعای رسانه‌ها، گروه هک ایرانی Lyceum APT از یک DNS Backdoor جدید مبتنی بر دات نت برای حمله به شرکت‌های بخش انرژی و مخابرات استفاده می‌کند.

طبق ادعا‌ها، Lyceum یک APT با پشتیبانی دولتی است که با نام‌های هگزان (Hexane) یا آسپیرین (Spilrin) نیز شناخته می‌شود، که قبلاً ارائه‌دهندگان خدمات ارتباطی در خاورمیانه را با استفاده از Backdoor‌های تونلینگ DNS هدف قرار داده‌اند.

تجزیه و تحلیل اخیر توسط Zscaler، یک DNS Backdoor جدید را بر اساس ابزار متن‌باز DIG.net برای انجام حملات "هایجک کردن DNS"، اجرای دستورات، ر‌ها کردن payload‌های بیشتر و استخراج داده‌ها ارائه می‌دهد.

هایجک کردن DNS یک حمله تغییر مسیر می‌باشد که به دستکاری کوئری DNS متکی است تا کاربری را که سعی می‌کند از یک سایت قانونی بازدید کند به یک کلون مخرب میزبانی شده بر روی سرور تحت کنترل عامل تهدید منتقل نماید.

هر گونه اطلاعات وارد شده در وب سایت مخرب، مانند اعتبار حساب، مستقیماً با عامل تهدید به اشتراک گذاشته می‌شود.

همه چیز از یک Word doc شروع می‌شود
حمله با یک سند Word شروع می‌شود که حاوی یک ماکرو مخرب است که وانمود می‌کند از یک وب سایت خبری دانلود شده است. این فایل به عنوان یک گزارش خبری با موضوع امور نظامی ایران ارائه و جازده شده است.

takian.ir iranian hackers target energy sector with new dns backdoor 1

اگر قربانی، امکان مشاهده محتوا را برای ماکرو‌های مایکرؤسافت آفیس فعال کند، DNS Backdoor مستقیماً در پوشه Startup برای ایجاد پایداری بین راه‌اندازی مجدد مستقر می‌شود.

takian.ir iranian hackers target energy sector with new dns backdoor 2

یک DNS Backdoor جدید
اساساً Backdoor از نام فایل «DnsSystem.exe» استفاده می‌کند و یک نسخه سفارشی‌شده از DIG.net است که مهاجمان آن را بر اساس نیاز خود تنظیم می‌کنند.

مجموعه Zscaler گفت: "عامل‌های تهدید کدی را سفارشی‌سازی و اضافه کرده‌اند که به آن‌ها امکان می‌دهد کوئری‌های DNS را برای رکورد‌های مختلف بر روی سرور DNS سفارشی انجام دهند، پاسخ کوئری را برای اجرای دستورات سیستم از راه دور تجزیه و تحلیل کنند و با استفاده از اعمال نفوذ، فایل‌ها را از سرور Command & Control با اعمال نفوذ به پروتکل DNS، بارگذاری/دانلود کنند".

بدافزار سرور هایجک DNS را با به دست آوردن آدرس IP دامین «cyberclub[.]one» راه‌اندازی می‌کند و یک MD5 بر اساس نام کاربری قربانی ایجاد می‌کند تا به عنوان‌شناسه قربانی منحصر به فرد عمل کند.

takian.ir iranian hackers target energy sector with new dns backdoor 3

به غیر از انجام حملات هایجک کردن DNS، همچنین backdoor می‌تواند دستوراتی را از C2 دریافت کند تا روی دستگاه در معرض خطر اجرا شود. پاسخ‌ها به شکل رکورد‌های TXT هستند.

این دستورات از طریق ابزار cmd.exe (خط فرمان ویندوز) اجرا می‌شوند و خروجی به عنوان یک DNS A Record به C2 بازگردانده می‌شود.

takian.ir iranian hackers target energy sector with new dns backdoor 4

علاوه بر این، backdoor می‌تواند فایل‌های محلی را به C2 منتقل کند یا فایل‌ها را از یک منبع راه دور دانلود کند و payload‌های اضافی را مستقر نماید.

تکامل Lyceum
گروه Lyceum، گروهی از هکر‌ها است که بر جاسوسی سایبری تمرکز می‌کنند و این backdoor مخفیانه و قدرتمند جدید نشان دهنده تکامل آن‌ها در این زمینه است.

بنا بر ادعای خبرگزاری بلیپینگ کامپیوتر، انتظار می‌رود هکر‌های ایرانی به مشارکت در این کمپین‌های جمع‌آوری اطلاعات که اغلب گروه‌های تهدیدکننده متعدد از کشور را درگیر می‌کنند، ادامه دهند.

به همان اندازه که ترفند‌های دستکاری DNS جدید آن قدرتمند هستند، آلودگی اولیه همچنان نیازمند فعال کردن ماکرو‌ها در مجموعه آفیس است؛ درخواستی که همیشه باید با دید شک و تردید به آن نگاه کرد.

برچسب ها: cmd.exe, DNS A Record, MD5, Command & Control, DIG.net, DnsSystem, Startup, DNS Hijacking, Spilrin, آسپیرین, هگزان, DNS Backdoor, Lyceum APT, cmd, Hexane, Lyceum, تونلینگ, Word, Payload, هایجک, Iran, دات نت, Tunneling, .NET, cybersecurity, DNS, ایران, Cyber Security, backdoor, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ