Nouvelle porte dérobée Linux utilisant le tunneling DNS sur HTTPS pour Covert CnC

16 juin 2023Ravie LakshmananSécurité des terminaux / Sécurité du réseau

L’acteur menaçant connu sous le nom de ChamelGang a été observé en train d’utiliser un implant auparavant non documenté pour déjouer des systèmes Linux, marquant une nouvelle expansion des capacités de l’acteur menaçant.

Le malware, surnommé ChamelDoH par Stairwell, est un outil basé sur C++ pour communiquer via un tunneling DNS-over-HTTPS (DoH).

ChamelGang a été dévoilé pour la première fois par la société russe de cybersécurité Positive Technologies en septembre 2021, détaillant ses attaques contre les industries de production de carburant, d’énergie et d’aviation en Russie, aux États-Unis, en Inde, au Népal, à Taïwan et au Japon.

Les chaînes d’attaque montées par l’acteur ont exploité les vulnérabilités des serveurs Microsoft Exchange et de l’application Red Hat JBoss Enterprise pour obtenir un accès initial et mener des attaques de vol de données à l’aide d’une porte dérobée passive appelée DoorMe.

« Il s’agit d’un module IIS natif qui est enregistré en tant que filtre à travers lequel les requêtes et les réponses HTTP sont traitées », a déclaré Positive Technologies à l’époque. « Son principe de fonctionnement est inhabituel : la porte dérobée ne traite que les requêtes dans lesquelles le paramètre de cookie correct est défini. »

La porte dérobée Linux découverte par Stairwell, pour sa part, est conçue pour capturer des informations système et est capable d’effectuer des opérations d’accès à distance telles que le téléchargement, le téléchargement, la suppression et l’exécution de commandes shell.

Ce qui rend ChamelDoH unique, c’est sa nouvelle méthode de communication utilisant DoH, qui est utilisée pour effectuer la résolution du système de noms de domaine (DNS) via le protocole HTTPS, pour envoyer Requêtes DNS TXT à un voyou nom du serveur.

« En raison du fait que ces fournisseurs DoH sont couramment utilisés, les serveurs DNS [i.e., Cloudflare and Google] pour le trafic légitime, ils ne peuvent pas être facilement bloqués à l’échelle de l’entreprise », a déclaré Daniel Mayer, chercheur chez Stairwell.

L’utilisation de DoH pour le commandement et le contrôle (C2) offre également des avantages supplémentaires pour l’auteur de la menace dans la mesure où les demandes ne peuvent pas être interceptées au moyen d’une attaque d’adversaire au milieu (AitM) grâce à l’utilisation du HTTPS. protocole.

Cela signifie également que les solutions de sécurité ne peuvent pas identifier et interdire les requêtes DoH malveillantes et interrompre les communications, les transformant ainsi en un canal crypté entre un hôte compromis et le serveur C2.

« Le résultat de cette tactique s’apparente à C2 via la façade de domaine, où le trafic est envoyé à un service légitime hébergé sur un CDN, mais redirigé vers un serveur C2 via l’en-tête Host de la requête – la détection et la prévention sont difficiles », a expliqué Mayer.

La société de cybersécurité basée en Californie a déclaré avoir détecté un total de 10 échantillons ChamelDoH sur VirusTotal, dont l’un a été téléchargé le 14 décembre 2022.

Les dernières découvertes montrent que « le groupe a également consacré un temps et des efforts considérables à la recherche et au développement d’un ensemble d’outils tout aussi robuste pour les intrusions Linux », a déclaré Mayer.