Peretas Iran Terlihat Menggunakan Malware Pembajak DNS baru dalam Serangan Terbaru

  • Bagikan
DNS Hijacking Malware

Beritaini.top Peretas Iran Terlihat Menggunakan Malware Pembajak DNS baru dalam Serangan Terbaru

Malware Pembajakan DNS

Aktor ancaman yang disponsori negara Iran yang dilacak di bawah moniker Lyceum telah beralih menggunakan pintu belakang berbasis .NET kustom baru dalam kampanye baru-baru ini yang ditujukan terhadap Timur Tengah.

“Malware baru adalah DNS Backdoor berbasis .NET yang merupakan versi khusus dari alat sumber terbuka ‘DIG.net,'” peneliti Zscaler ThreatLabz Niraj Shivtarkar dan Avinash Kumar dikatakan dalam laporan yang diterbitkan minggu lalu.

Malware ini memanfaatkan teknik serangan DNS yang disebut ‘DNS Hijacking’ di mana server DNS yang dikendalikan penyerang memanipulasi respons permintaan DNS dan menyelesaikannya sesuai kebutuhan jahat mereka.

Keamanan cyber

Pembajakan DNS adalah serangan pengalihan di mana permintaan DNS ke situs web asli dicegat untuk membawa pengguna yang tidak curiga ke halaman penipuan di bawah kendali musuh. Tidak seperti keracunan cache, pembajakan DNS menargetkan catatan DNS situs web di server nama, bukan cache resolver.

Malware Pembajakan DNS

Lyceum, juga dikenal sebagai Hexane, Spirlin, atau Siamesekitten, terutama dikenal karena serangan dunia mayanya di Timur Tengah dan Afrika. Awal tahun ini, perusahaan keamanan siber Slovakia ESET mengaitkan aktivitasnya dengan aktor ancaman lain yang disebut OilRig (alias APT34).

Rantai infeksi terbaru melibatkan penggunaan Dokumen Microsoft berlapis makro yang diunduh dari domain bernama “news-spot”[.]hidup,” menirukan sebagai laporan berita yang sah dari Radio Free Europe/Radio Liberty tentang serangan drone Iran pada Desember 2021.

Malware Pembajakan DNS

Mengaktifkan hasil makro dalam eksekusi kode berbahaya yang menjatuhkan implan ke Folder Pembuka Windows untuk membangun kegigihan dan memastikannya berjalan secara otomatis setiap kali sistem dimulai ulang.

Keamanan cyber

Pintu belakang .NET DNS, dijuluki DnsSystem, adalah varian yang dikerjakan ulang dari sumber terbuka DIG.net Alat penyelesai DNS, memungkinkan aktor Lyceum untuk mengurai respons DNS yang dikeluarkan dari server DNS (“cyberclub[.]satu”) dan melaksanakan tujuan jahatnya.

Selain menyalahgunakan protokol DNS untuk komunikasi command-and-control (C2) untuk menghindari deteksi, malware dilengkapi untuk mengunggah dan mengunduh file arbitrer ke dan dari server jarak jauh serta menjalankan perintah sistem berbahaya dari jarak jauh pada host yang disusupi.

“Aktor ancaman APT terus mengembangkan taktik dan malware mereka untuk berhasil melakukan serangan terhadap target mereka,” kata para peneliti. “Penyerang terus menggunakan trik anti-analisis baru untuk menghindari solusi keamanan; pengemasan ulang malware membuat analisis statis menjadi lebih menantang.”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.