Der vom iranischen Staat gesponserte Bedrohungsakteur, der unter dem Namen Lyceum bekannt ist, hat in seinen jüngsten Kampagnen gegen den Nahen Osten eine neue benutzerdefinierte .NET-basierte Backdoor eingesetzt.
„Bei der neuen Malware handelt es sich um eine .NET-basierte DNS-Backdoor, die eine angepasste Version des Open-Source-Tools DIG.net ist“, so die Zscaler ThreatLabz-Forscher Niraj Shivtarkar und Avinash Kumar in einem letzte Woche veröffentlichten Bericht.
„Die Malware nutzt eine DNS-Angriffstechnik namens ‚DNS Hijacking‘, bei der ein vom Angreifer kontrollierter DNS-Server die Antwort auf DNS-Anfragen manipuliert und sie nach seinen böswilligen Vorgaben auflöst.“
DNS-Hijacking ist ein Umleitungsangriff, bei dem DNS-Anfragen an echte Websites abgefangen werden, um einen ahnungslosen Nutzer auf betrügerische Seiten unter der Kontrolle eines Angreifers zu leiten. Im Gegensatz zum Cache Poisoning zielt DNS-Hijacking auf den DNS-Eintrag der Website auf dem Nameserver und nicht auf den Cache des Resolvers.
Lyceum, auch bekannt als Hexane, Spirlin oder Siamesekitten, ist vor allem für seine Cyberangriffe im Nahen Osten und Afrika bekannt. Anfang des Jahres brachte das slowakische Cybersicherheitsunternehmen ESET seine Aktivitäten mit einem anderen Bedrohungsakteur namens OilRig (auch bekannt als APT34) in Verbindung.
Die jüngste Infektionskette beinhaltet ein mit Makros versehenes Microsoft-Dokument, das von einer Domain namens „news-spot[.]live“ heruntergeladen wurde und einen legitimen Nachrichtenbericht von Radio Free Europe/Radio Liberty über die iranischen Drohnenangriffe im Dezember 2021 vortäuscht.
Wenn du das Makro aktivierst, wird ein bösartiger Code ausgeführt, der das Implantat im Windows-Startordner ablegt, damit es bestehen bleibt und bei jedem Neustart des Systems automatisch ausgeführt wird.
Die .NET-DNS-Backdoor mit dem Namen DnsSystem ist eine überarbeitete Variante des Open-Source-DNS-Resolver-Tools DIG.net, die es dem Lyceum-Akteur ermöglicht, DNS-Antworten des DNS-Servers („cyberclub[.]one“) zu analysieren und seine schändlichen Ziele zu verfolgen.
Die Malware missbraucht das DNS-Protokoll nicht nur für die Command-and-Control (C2)-Kommunikation, um der Entdeckung zu entgehen, sondern ist auch in der Lage, beliebige Dateien auf den entfernten Server hoch- und herunterzuladen sowie bösartige Systembefehle aus der Ferne auf dem kompromittierten Host auszuführen.
„APT-Bedrohungsakteure entwickeln ihre Taktiken und Malware ständig weiter, um ihre Ziele erfolgreich anzugreifen“, so die Forscher. „Die Angreifer wenden ständig neue Tricks an, um Sicherheitslösungen zu umgehen, und durch die Neuverpackung von Malware wird die statische Analyse noch schwieriger.