Lyceum .NET DNS-Backdoor-Erkennung: Iranische staatlich unterstützte APT-Gruppe nutzt neue Hijacking-Malware
Inhaltsverzeichnis:
Cybersicherheitsforscher haben kürzlich eine Welle neuer Cyberangriffe der von der iranischen Nation unterstützten APT-Gruppe namens „Lyceum“, auch bekannt als HEXANE, aufgeklärt. Lyceum-Akteure agieren seit 2017 in der Cyber-Bedrohungslandschaft und zielen hauptsächlich auf Organisationen im Nahen Osten in den Bereichen Energie und Telekommunikation ab. In der neuesten Kampagne der Lyceum-Gruppe haben Bedrohungsakteure eine neuartige .NET-basierte Backdoor angewendet, die von einer DNS-Hijacking-Gegnertechnik Gebrauch macht.
.NET DNS Backdoor von der Lyceum-Gruppe angepasst erkennen
Um Organisationen zu helfen, die bösartige Anwesenheit einer neuartigen Lyceum .NET DNS Backdoor in ihrer Infrastruktur rechtzeitig zu erkennen, kuratiert die Plattform von SOC Prime die nahezu in Echtzeit erfolgende Bereitstellung einzigartiger Erkennungsinhalte zu relevanten Bedrohungen. Registrierte SOC Prime-Nutzer können die dedizierte Sigma-Regel abrufen, die von unserem engagierten Entwickler des Threat Bounty Program Osman Demirerstellt wurde. Indem sie sich dem Threat Bounty Programanschließen, können einzelne Forscher und Bedrohungsjäger ihre eigenen Beiträge zur kollaborativen Cyberverteidigung leisten.
Stellen Sie sicher, dass Sie sich in die Plattform von SOC Prime mit Ihrem aktiven Konto einloggen oder anmelden, um zur Sigma-Regel per Link unten zu gelangen:
Diese Erkennung ist mit dem MITRE ATT&CK®-Rahmenwerk ausgerichtet und adressiert die Persistenz-Taktik mit Boot- oder Logon-Autostart-Ausführung (T1547) als Haupttechnik. Informationssicherheitsexperten können mühelos zwischen mehreren SIEM-, EDR- und XDR-Formaten wechseln, um den Regelquellcode für über 19 Sicherheitssysteme anwendbar zu bekommen. Die oben erwähnte Sigma-Regel kann auch angewendet werden, um Bedrohungen, die mit der Lyceum .NET DNS Backdoor in Verbindung stehen, sofort mit SOC Primes Quick Hunt -Modul zu jagen.
Um auf die umfassende Liste der Erkennungsregeln und Jagd-Abfragen im Zusammenhang mit der bösartigen Aktivität der Luceum-Bedrohungsakteure zuzugreifen, klicken Sie auf den Button Detect & Hunt unten. Cybersicherheitspraktiker können auch sofort die Cyber-Bedrohungssuchmaschine von SOC Prime durchsuchen, um auf Top-Trends zuzugreifen, die neuesten Inhaltsaktualisierungen zu sehen und vollständige kontextuelle Informationen, einschließlich MITRE ATT&CK-Referenzen, CTI-Links, CVE-Beschreibungen und mehr, ohne Registrierung und direkt von einem einzigen Ort aus zu erkunden.
Detect & Hunt Bedrohungskontext erkunden
Analyse der Lyceum .NET DNS Backdoor
Das Zscaler ThreatLabz-Team hat kürzlich die globale Cybersicherheitsgemeinschaft über eine neuartige .NET-basierte DNS-Malware informiert, die in der neuesten Kampagne der Lyceum-Gruppe verwendet wird. Das von der iranischen Regierung unterstützte Hacker-Kollektiv, auch verfolgt als COBALT LYCEUM or HEXANE , hat über eine fünfjährige Geschichte in der Cyber-Bedrohungslandschaft und operiert hauptsächlich mit .NET-basierter Malware. In der neuesten Malware-Kampagne hat die Gruppe eine neue Version der DNS-Backdoor entwickelt, indem sie einen Open-Source-Tool-Code angepasst hat. In diesen Angriffen missbraucht die Backdoor mittels der sogenannten „DNS-Hijacking“-Technik das DNS-Protokoll für die C2-Serverkommunikation, wodurch Angreifer bösartige Operationen ausführen können, während sie der Erkennung entgehen. Diese Angriffstechnik ermöglicht es Bedrohungsakteuren, die Kontrolle über den DNS-Server zu übernehmen und die Antwort auf die DNS-Anfragen zu manipulieren.
In der letzten Kampagne der Lyceum-Gruppe wird die Infektionskette durch eine makroaktivierte Word-Datei ausgelöst, die als Köder ein militärbezogenes Thema verwendet. Sobald sie aktiviert ist, führt der Makroinhalt weiter zur Bereitstellung der DNS-Backdoor auf dem infizierten Computer. Die auch als „DnsSystem“ bezeichnete Malware ermöglicht es Angreifern, Systembefehle auf den kompromittierten Maschinen remote auszuführen, einschließlich der Fähigkeit, Dateien vom und zum C2-Server hoch- und herunterzuladen, indem sie DNS-Einträge ausnutzt.
Während mehrere APT-Gruppen den Einflussbereich erweitern und ihr Gegner-Toolkit weiterentwickeln, suchen fortschrittliche Organisationen kontinuierlich nach neuen Wegen, um die Cyber-Resilienz zu verstärken. Die Plattform von SOC Prime ermöglicht es Informationssicherheitsexperten, ihr Potenzial zur Cyber-Abwehr zu steigern, indem sie kuratierte Detection-as-Code-Inhalte in Verbindung mit automatisierten Bedrohungsjagden und Inhalts-Streaming-Fähigkeiten nutzen. Suchen Sie nach Möglichkeiten, zur kollektiven Cybersicherheitsexpertise beizutragen? Threat Bounty Program ist SOC Primes Crowdsourcing-Initiative, die es Cybersicherheitsforschern ermöglicht, ihre eigenen Erkennungsinhalte zu monetarisieren, finanzielle Vorteile zu erzielen und Anerkennung unter Branchenkollegen zu gewinnen.
