L’acteur de la menace parrainé par l’État iranien suivi sous le nom de Lyceum s’est tourné vers l’utilisation d’une nouvelle porte dérobée personnalisée basée sur .NET dans les récentes campagnes dirigées contre le Moyen-Orient.
« Le nouveau malware est une porte dérobée DNS basée sur .NET qui est une version personnalisée de l’outil open source ‘DIG.net' », ont déclaré Niraj Shivtarkar et Avinash Kumar, chercheurs de Zscaler ThreatLabz. a dit dans un rapport publié la semaine dernière.
« Le logiciel malveillant exploite une technique d’attaque DNS appelée » DNS Hijacking « dans laquelle un serveur DNS contrôlé par l’attaquant manipule la réponse des requêtes DNS et les résout en fonction de leurs exigences malveillantes. »
Le piratage DNS est un attaque de redirection dans lequel les requêtes DNS vers des sites Web authentiques sont interceptées pour amener un utilisateur sans méfiance vers des pages frauduleuses sous le contrôle d’un adversaire. Contrairement à l’empoisonnement du cache, le détournement DNS cible l’enregistrement DNS du site Web sur le serveur de noms, plutôt que le cache d’un résolveur.
Lyceum, également connu sous le nom d’Hexane, Spirlin ou Siamesekitten, est principalement connu pour ses cyberattaques au Moyen-Orient et en Afrique. Plus tôt cette année, la société slovaque de cybersécurité ESET a lié ses activités à un autre acteur menaçant appelé OilRig (alias APT34).
La dernière chaîne d’infection implique l’utilisation d’un document Microsoft contenant des macros téléchargé à partir d’un domaine nommé « news-spot[.]vivre », se faisant passer pour un reportage légitime de Radio Free Europe/Radio Liberty sur les frappes de drones iraniens en décembre 2021.
L’activation de la macro entraîne l’exécution d’un code malveillant qui dépose l’implant sur le Dossier de démarrage de Windows pour établir la persistance et s’assurer qu’il s’exécute automatiquement à chaque redémarrage du système.
La porte dérobée DNS .NET, surnommée DnsSystem, est une variante retravaillée de l’open-source DIG.net Outil de résolution DNS, permettant à l’acteur Lyceum d’analyser les réponses DNS émises par le serveur DNS (« cyberclub[.]one ») et réaliser ses objectifs infâmes.
En plus d’abuser du protocole DNS pour les communications de commande et de contrôle (C2) afin d’échapper à la détection, le logiciel malveillant est équipé pour télécharger et télécharger des fichiers arbitraires vers et depuis le serveur distant, ainsi que pour exécuter des commandes système malveillantes à distance sur l’hôte compromis.
« Les acteurs de la menace APT font évoluer en permanence leurs tactiques et leurs logiciels malveillants pour mener à bien des attaques contre leurs cibles », ont déclaré les chercheurs. « Les attaquants adoptent en permanence de nouvelles astuces anti-analyse pour échapper aux solutions de sécurité ; le reconditionnement des logiciels malveillants rend l’analyse statique encore plus difficile. »