Peretas Iran Terlihat Menggunakan Malware Pembajak DNS baru dalam Serangan Terbaru

DNS Hijacking Malware

Aktor ancaman yang disponsori negara Iran yang dilacak di bawah moniker Lyceum telah beralih menggunakan pintu belakang berbasis .NET kustom baru dalam kampanye baru-baru ini yang ditujukan terhadap Timur Tengah.

“Malware baru adalah DNS Backdoor berbasis .NET yang merupakan versi khusus dari alat open source ‘DIG.net,’” peneliti Zscaler ThreatLabz Niraj Shivtarkar dan Avinash Kumar mengatakan dalam sebuah laporan yang diterbitkan minggu lalu.

Malware ini memanfaatkan teknik serangan DNS yang disebut ‘DNS Hijacking’ di mana server DNS yang dikendalikan penyerang memanipulasi respons permintaan DNS dan menyelesaikannya sesuai kebutuhan jahat mereka.

Keamanan cyber

Pembajakan DNS adalah serangan pengalihan di mana permintaan DNS ke situs web asli dicegat untuk membawa pengguna yang tidak curiga ke halaman penipuan di bawah kendali musuh. Tidak seperti keracunan cache, pembajakan DNS menargetkan catatan DNS situs web di server nama, bukan cache resolver.

Malware Pembajakan DNS

Lyceum, juga dikenal sebagai Hexane, Spirlin, atau Siamesekitten, terutama dikenal karena serangan dunia mayanya di Timur Tengah dan Afrika. Awal tahun ini, perusahaan keamanan siber Slovakia ESET mengaitkan aktivitasnya dengan aktor ancaman lain yang disebut OilRig (alias APT34).

Rantai infeksi terbaru melibatkan penggunaan Dokumen Microsoft berlapis makro yang diunduh dari domain bernama “news-spot”[.]live,” meniru laporan berita yang sah dari Radio Free Europe/Radio Liberty tentang serangan pesawat tak berawak Iran pada Desember 2021.

Malware Pembajakan DNS

Mengaktifkan hasil makro dalam eksekusi kode berbahaya yang menjatuhkan implan ke folder Startup Windows untuk membangun kegigihan dan memastikannya berjalan secara otomatis setiap kali sistem dimulai ulang.

Keamanan cyber

Backdoor .NET DNS, dijuluki DnsSystem, adalah varian yang dikerjakan ulang dari alat pemecah DNS DIG.net open-source, memungkinkan aktor Lyceum untuk mengurai tanggapan DNS yang dikeluarkan dari server DNS (“cyberclub[.]satu”) dan melaksanakan tujuan jahatnya.

Related Post :   Peretas Cina Mendistribusikan Dompet Web3 Backdoored untuk Pengguna iOS dan Android

Selain menyalahgunakan protokol DNS untuk komunikasi command-and-control (C2) untuk menghindari deteksi, malware dilengkapi untuk mengunggah dan mengunduh file arbitrer ke dan dari server jarak jauh serta menjalankan perintah sistem berbahaya dari jarak jauh pada host yang disusupi.

“Aktor ancaman APT terus mengembangkan taktik dan malware mereka untuk berhasil melakukan serangan terhadap target mereka,” kata para peneliti. “Penyerang terus menggunakan trik anti-analisis baru untuk menghindari solusi keamanan; pengemasan ulang malware membuat analisis statis menjadi lebih menantang.”


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.