Gli APT iraniani attaccano le società energetiche attraverso una nuova backdoor

Redazione RHC : 16 Giugno 2022 07:30

Il gruppo iraniano APT Lyceum si è armato di una nuova backdoor DNS .NET e ora sta attaccando le società energetiche e di telecomunicazioni.

Lyceum è un gruppo di hacker finanziato dal governo, noto anche come Hexane e Spilrin, specializzato in spionaggio informatico. Attaccava i vettori in Medio Oriente con backdoor di tunneling DNS.

Tuttavia, Zscaler ha scoperto che il gruppo ha ora iniziato a utilizzare una nuova backdoor DNS basata sullo strumento open source DIG.net per il dirottamento DNS, l’esecuzione di comandi, il caricamento del payload aggiuntivo e il furto di dati.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il dirottamento DNS è un attacco informatico in cui un utente malintenzionato manipola le query DNS per reindirizzare un utente che tenta di accedere a un sito legittimo o al suo “clone” dannoso ospitato su un server controllato dall’attaccante. Qualsiasi informazione che l’utente immette sulla risorsa falsa (come le credenziali) andrà direttamente all’attaccante.

L’attacco inizia con la vittima che scarica un documento Word con macro dannose da un sito che gli hacker fingono di essere una vera risorsa di notizie. Il documento è camuffato da notiziario relativo all’esercito iraniano.

Se una vittima attiva le macro nel proprio Microsoft Office per visualizzare un documento, una backdoor DNS verrà scaricata direttamente nella cartella di avvio, consentendo agli hacker di essere presenti sul sistema, indipendentemente dal riavvio.

La backdoor utilizza il nome del file DnsSystem.exe ed è una versione personalizzata di DIG.net, personalizzata dagli hacker per soddisfare le loro esigenze.

Il malware configura un server di intercettazione DNS acquisendo l’indirizzo IP del dominio cyberclub[.]one e genera un MD5 basato sul nome utente, che funge da identificatore univoco della vittima.

Intercettando il DNS, la backdoor può ricevere comandi dal server C&C da eseguire sulla macchina compromessa. La risposta viene fornita come record TXT.

I comandi vengono eseguiti con lo strumento cmd.exe e i dati in uscita vengono rispediti al server C&C come record DNS A. Inoltre, la backdoor può rubare file locali e inviarli al server C&C o scaricare file da un server remoto per scaricare file aggiuntivi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli