El actor de amenazas conocido como ChamelGang se ha observado utilizando un implante no documentado previamente en sistemas Linux de puerta trasera, lo que marca una nueva expansión de las capacidades del actor de amenazas.
El malware, denominado ChamelDoH de Stairwell, es una herramienta basada en C++ para comunicarse a través de túneles DNS sobre HTTPS (DoH).
ChamelGang fue descubierto por primera vez por la firma rusa de ciberseguridad Positive Technologies en septiembre de 2021, detallando sus ataques a las industrias de producción de combustible, energía y aviación en Rusia, EE. UU., India, Nepal, Taiwán y Japón.
Las cadenas de ataque montadas por el actor aprovecharon las vulnerabilidades en los servidores de Microsoft Exchange y la aplicación Red Hat JBoss Enterprise para obtener acceso inicial y llevar a cabo ataques de robo de datos utilizando una puerta trasera pasiva llamada DoorMe.
«Este es un módulo IIS nativo que está registrado como un filtro a través del cual se procesan las solicitudes y respuestas HTTP», dijo Positive Technologies en ese momento. «Su principio de funcionamiento es inusual: la puerta trasera procesa solo aquellas solicitudes en las que se establece el parámetro de cookie correcto».
El backdoor de Linux descubierto por Stairwell, por su parte, está diseñado para capturar información del sistema y es capaz de realizar operaciones de acceso remoto, como carga, descarga, eliminación de archivos y ejecución de comandos de shell.
Lo que hace que ChamelDoH sea único es su novedoso método de comunicación de usar DoH, que se usa para realizar la resolución del Sistema de nombres de dominio (DNS) a través del protocolo HTTPS, para enviar Solicitudes de texto de DNS a un pícaro nombre del servidor.
«Debido a que estos proveedores de DoH son servidores DNS comúnmente utilizados [i.e., Cloudflare and Google] para el tráfico legítimo, no se pueden bloquear fácilmente en toda la empresa», dijo Daniel Mayer, investigador de Stairwell.
El uso de DoH para comando y control (C2) también ofrece beneficios adicionales para el actor de amenazas en el sentido de que las solicitudes no pueden ser interceptadas mediante un ataque de adversario en el medio (AitM) debido al uso de HTTPS. protocolo.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Esto también significa que las soluciones de seguridad no pueden identificar y prohibir las solicitudes DoH maliciosas y cortar las comunicaciones, convirtiéndolas así en un canal encriptado entre un host comprometido y el servidor C2.
«El resultado de esta táctica es similar a C2 a través del frente de dominio, donde el tráfico se envía a un servicio legítimo alojado en una CDN, pero se redirige a un servidor C2 a través del encabezado Host de la solicitud; tanto la detección como la prevención son difíciles», explicó Mayer.
La firma de ciberseguridad con sede en California dijo que detectó un total de 10 muestras de ChamelDoH en VirusTotal, una de las cuales se cargó el 14 de diciembre de 2022.
Los últimos hallazgos muestran que «el grupo también ha dedicado un tiempo y esfuerzo considerables a investigar y desarrollar un conjunto de herramientas igualmente robusto para las intrusiones de Linux», dijo Mayer.