Posté le juin 13, 2022 à 8:41
DES HACKERS IRANIENS UTILISENT UNE NOUVELLE TECHNIQUE DE PIRATAGE DE DNS POUR LANCER DES ATTAQUES
Des hackers Iraniens utilisent une nouvelle technique de piratage de DNS pour mener des attaques. Ces attaques ont été détectées dans un groupe d’acteurs de la menace parrainé par l’Iran qui utilise une nouvelle porte dérobée pour lancer des campagnes d’attaque visant le Moyen-Orient.
Au cours des dernières années, les cybercriminels ont utilisé de nouvelles techniques d’attaque pour atteindre leurs groupes cibles. La communauté de la cybersécurité a donc intensifié ses appels aux particuliers et aux institutions pour qu’ils renforcent leurs systèmes de sécurité afin de garantir que les attaques ne passent pas inaperçues.
Des hackers Iraniens utilisent un logiciel malveillant de détournement de DNS pour lancer des attaques
Au cours de récentes campagnes, un groupe de hackers parrainé par l’État Iranien et surnommé Lyceum s’est tourné vers une nouvelle porte dérobée .NET personnalisée. Ces campagnes ont été dirigées vers le Moyen-Orient.
Niraj Shivtarkar et Avinash Kumar de Zscaler ThreatLabz ont publié un rapport la semaine dernière indiquant que le nouveau logiciel malveillant était une version adaptée de l’outil open-source connu sous le nom de « DIG.net ».
Le logiciel malveillant exploite une technique d’attaque DNS appelée « détournement DNS« , dans laquelle un serveur DNS contrôlé par un attaquant manipule la réponse aux requêtes DNS et les résout en fonction de ses besoins malveillants », ont déclaré les chercheurs.
Le piratage du DNS est l’une des techniques d’attaque les plus populaires. Il s’agit d’une attaque par redirection où les requêtes DNS sont interceptées avant d’être envoyées à un site Web authentique. Les attaquants utilisent ces requêtes pour rediriger l’utilisateur peu méfiant vers des pages malveillantes contrôlées par l’attaquant.
Le détournement de DNS est différent de l’empoisonnement du cache. Contrairement à l’empoisonnement du cache, le détournement de DNS consiste à cibler l’enregistrement DNS du site Web sous le serveur de noms au lieu d’utiliser le cache du résolveur.
Le Lyceum est un groupe de hackers parrainé par l’État Iranien. Le groupe est également connu sous des noms tels que Hexane, Siamesekitten et Spirlin. Ce groupe de hackers dirige généralement ses attaques vers l’Afrique et le Moyen-Orient.
Le groupe de hackers n’agit pas toujours seul. Par le passé, les activités du groupe ont été liées à d’autres acteurs de menaces. Au début de l’année, des chercheurs d’ESET, une entreprise de cybersécurité basée en Slovaquie, ont établi un lien entre les activités de Lyceum et un autre acteur de menaces connu sous le nom de OilRig ou APT34.
Dans les dernières attaques, le groupe a dupliqué un site Web authentique pour cibler des personnes sans méfiance. L’infection montre que l’attaquant a utilisé un document Microsoft téléchargé depuis le domaine « news-spot[.]live ». Le site Web se faisait passer pour un véritable bulletin d’information de Radio Free Europe ou Radio Liberty. Le reportage traitait principalement des frappes de drones en Iran en décembre de l’année dernière.
Les attaquants ont activé les résultats de la macro en exécutant un code malveillant qui a installé l’implant dans le dossier de démarrage de Windows. Ceci est fait pour montrer la persistance et s’assurer que les objectifs de l’attaquant sont atteints. Il s’assure qu’il s’exécute automatiquement chaque fois que le système est redémarré.
« Les acteurs de menaces ont personnalisé et ajouté du code qui leur permet d’effectuer des requêtes DNS pour divers enregistrements sur le serveur DNS personnalisé, d’analyser la réponse à la requête afin d’exécuter des commandes système à distance et de télécharger des fichiers depuis le serveur de commande et de contrôle en exploitant le protocole DNS », ajoute le communiqué.
Utilisation d’un nouveau logiciel malveillant
La porte dérobée DNS .NET est également connue sous le nom de DnsSystem. Il s’agit d’une variante remodelée de DIG.net, un outil de résolution open-source. La porte dérobée permet à l’acteur Lyceum d’analyser les réponses DNS du serveur DNS connu sous le nom de cyberclub[.]one. Une fois que cela se produit, l’acteur de la menace peut mener une attaque.
Lyceum est un groupe APT, et l’adoption récente d’un nouveau logiciel malveillant ne peut que signifier jusqu’où le groupe d’acteurs de menaces est prêt à aller pour atteindre ses objectifs. Par conséquent, le logiciel malveillant récemment découvert pourrait n’être que le début de ce que le groupe est prêt à faire pour atteindre ses objectifs.
Lors de la récente attaque, il a également été constaté que le groupe de hackers utilisait des techniques lui permettant d’éviter la détection. Les attaquants ont abusé du protocole DNS pour les communications de commande et de contrôle (C2) afin de dissimuler leurs attaques.
Le logiciel malveillant a aussi des fonctionnalités qui lui permettent de télécharger des fichiers arbitraires vers et depuis le serveur distant. Il sert également d’autres objectifs, comme l’exécution à distance de commandes système malveillantes sur l’hôte compromis. Par conséquent, la récente attaque lancée par le groupe montre un risque accru de persistance de ces attaques.
« Les acteurs de menaces APT font évoluer en permanence leurs tactiques et leurs logiciels malveillants pour mener à bien les attaques contre leurs cibles. Les attaquants adoptent continuellement de nouvelles stratégies d’anti-analyse pour échapper aux solutions de sécurité ; le reconditionnement des logiciels malveillants rend l’analyse statique encore plus difficile », ajoutent les chercheurs.
