最近の攻撃で新しいDNSハイジャックマルウェアを使用して発見されたイランのハッカー from thehackernews.com
security summary
「新しいマルウェアは、オープンソースツール「DIG.net」のカスタマイズバージョンである.NETベースのDNSバックドアです」とZscalerThreatLabzの研究者であるNirajShivtarkarとAvinashKumarは先週公開されたレポートで述べています。
「マルウェアは、攻撃者が制御するDNSサーバーがDNSクエリの応答を操作し、悪意のある要件に従ってそれらを解決する「DNSハイジャック」と呼ばれるDNS攻撃手法を利用しています。」
DnsSystemと呼ばれる.NETDNSバックドアは、オープンソースのDIG.net DNSリゾルバーツールの改良版であり、LyceumアクターがDNSサーバー(「cyberclub[。]one」)から発行されたDNS応答を解析して実行できるようにします。
マルウェアは、コマンドアンドコントロール(C2)通信にDNSプロトコルを悪用して検出を回避するだけでなく、リモートサーバーとの間で任意のファイルをアップロードおよびダウンロードしたり、侵入先のホストで悪意のあるシステムコマンドをリモートで実行したりする機能を備えています。
「攻撃者は、セキュリティソリューションを回避するために、新しい分析対策のトリックを継続的に採用しています。マルウェアを再パッケージ化すると、静的分析がさらに困難になります」
コメント