El actor de amenazas patrocinado por el estado iraní rastreado bajo el nombre de Lyceum ha recurrido al uso de una nueva puerta trasera personalizada basada en .NET en campañas recientes dirigidas contra el Medio Oriente.
«El nuevo malware es un DNS Backdoor basado en .NET, que es una versión personalizada de la herramienta de código abierto ‘DIG.net'», dijeron los investigadores de Zscaler ThreatLabz, Niraj Shivtarkar y Avinash Kumar. dijo en un informe publicado la semana pasada.
«El malware aprovecha una técnica de ataque de DNS llamada ‘secuestro de DNS’ en la que un servidor de DNS controlado por el atacante manipula la respuesta de las consultas de DNS y las resuelve según sus requisitos maliciosos».
El secuestro de DNS es un ataque de redirección en el que se interceptan consultas de DNS a sitios web genuinos para llevar a un usuario desprevenido a páginas fraudulentas bajo el control de un adversario. A diferencia del envenenamiento de caché, el secuestro de DNS tiene como objetivo el registro DNS del sitio web en el servidor de nombres, en lugar de la caché de un resolutor.
Lyceum, también conocido como Hexane, Spirlin o Siamesekitten, es principalmente conocido por sus ciberataques en Medio Oriente y África. A principios de este año, la empresa de ciberseguridad eslovaca ESET vinculó sus actividades a otro actor de amenazas llamado OilRig (también conocido como APT34).
La última cadena de infección implica el uso de un documento de Microsoft con macros descargado de un dominio llamado «news-spot».[.]vivir», haciéndose pasar por un informe de noticias legítimas de Radio Free Europe/Radio Liberty sobre los ataques con drones de Irán en diciembre de 2021.
Habilitar la macro da como resultado la ejecución de un código malicioso que deja caer el implante en el Carpeta de inicio de Windows para establecer la persistencia y garantizar que se ejecute automáticamente cada vez que se reinicia el sistema.
La puerta trasera DNS de .NET, denominada DnsSystem, es una variante reelaborada de la fuente abierta DIG.net Herramienta de resolución de DNS, que permite al actor de Lyceum analizar las respuestas de DNS emitidas desde el servidor de DNS («cyberclub[.]uno») y llevar a cabo sus nefastos objetivos.
Además de abusar del protocolo DNS para comunicaciones de comando y control (C2) para evadir la detección, el malware está equipado para cargar y descargar archivos arbitrarios hacia y desde el servidor remoto, así como para ejecutar comandos del sistema malicioso de forma remota en el host comprometido.
«Los actores de amenazas APT están continuamente evolucionando sus tácticas y malware para llevar a cabo ataques con éxito contra sus objetivos», dijeron los investigadores. «Los atacantes adoptan continuamente nuevos trucos antianálisis para evadir las soluciones de seguridad; el reempaquetado de malware hace que el análisis estático sea aún más desafiante».