Se ha observado que el actor de amenazas conocido como ChamelGang usa un implante no documentado previamente en los sistemas Linux de puerta trasera, lo que marca una nueva expansión de las capacidades del actor de amenazas. El malware, denominado ChamelDoH por Stairwell, es una herramienta basada en C++ para comunicarse a través de túneles DNS sobre HTTPS (DoH).
ChamelGang fue descubierto por primera vez por la firma rusa de ciberseguridad Positive Technologies en septiembre de 2021, detallando sus ataques a las industrias de producción de combustible, energÃa y aviación en Rusia, EE. UU., India, Nepal, Taiwán y Japón. Las cadenas de ataque montadas por el actor aprovecharon las vulnerabilidades en los servidores de Microsoft Exchange y la aplicación Red Hat JBoss Enterprise para obtener acceso inicial y llevar a cabo ataques de robo de datos utilizando una puerta trasera pasiva llamada DoorMe.
"Este es un módulo IIS nativo que está registrado como un filtro a través del cual se procesan las solicitudes y respuestas HTTP", dijo Positive Technologies en ese momento. "Su principio de funcionamiento es inusual: la puerta trasera procesa solo aquellas solicitudes en las que se establece el parámetro de cookie correcto".
El backdoor de Linux descubierto por Stairwell, por su parte, está diseñado para capturar información del sistema y es capaz de realizar operaciones de acceso remoto, como carga, descarga, eliminación de archivos y ejecución de comandos de shell.
Lo que hace que ChamelDoH sea único es su novedoso método de comunicación de usar DoH, que se usa para realizar la resolución del Sistema de nombres de dominio (DNS) a través del protocolo HTTPS, para enviar solicitudes DNS TXT a un servidor de nombres no autorizado.
"Debido a que estos proveedores de DoH son servidores DNS comúnmente utilizados [es decir, Cloudflare y Google] para el tráfico legÃtimo, no pueden bloquearse fácilmente en toda la empresa", dijo el investigador de Stairwell, Daniel Mayer. El uso de DoH para comando y control (C2) también ofrece beneficios adicionales para el actor de amenazas en el sentido de que las solicitudes no pueden ser interceptadas mediante un ataque de adversario en el medio (AitM) debido al uso de HTTPS. protocolo.
Esto también significa que las soluciones de seguridad no pueden identificar y prohibir las solicitudes DoH maliciosas y cortar las comunicaciones, convirtiéndolas asà en un canal encriptado efectivo entre un host comprometido y el servidor C2. "El resultado de esta táctica es similar a C2 a través del frente de dominio, donde el tráfico se envÃa a un servicio legÃtimo alojado en una CDN, pero se redirige a un servidor C2 a través del encabezado de host de la solicitud; tanto la detección como la prevención son difÃciles", explicó Mayer.
La firma de ciberseguridad con sede en California dijo que detectó un total de 10 muestras de ChamelDoH en la base de datos de malware VirusTotal, una de las cuales se cargó el 14 de diciembre de 2022. Los últimos hallazgos muestran que "el grupo también ha dedicado un tiempo y esfuerzo considerables a investigar y desarrollar un conjunto de herramientas igualmente robusto para las intrusiones de Linux", dijo Mayer.
¿Quieres saber más?