Detección de Backdoor DNS en .NET de Lyceum: Grupo APT Respaldado por Irán Emplea Nuevo Malware de Secuestro
Tabla de contenidos:
Investigadores de ciberseguridad han arrojado luz recientemente sobre una ola de nuevos ciberataques por parte del grupo APT respaldado por la nación iraní que actúa bajo el seudónimo de “Lyceum”, también conocido como HEXANE. Los actores de Lyceum han estado operando en el ámbito de amenazas cibernéticas desde 2017, apuntando principalmente a organizaciones en el Medio Oriente en los sectores de la industria energética y de telecomunicaciones. En la última campaña del grupo Lyceum, los actores de la amenaza han aplicado un nuevo backdoor basado en .NET, que aprovecha una técnica adversaria de secuestro de DNS.
Detectar el Backdoor DNS .NET personalizado por el grupo Lyceum
Para ayudar a las organizaciones a identificar rápidamente la presencia maliciosa de un nuevo backdoor DNS .NET de Lyceum en su infraestructura, la plataforma de SOC Prime selecciona la entrega en tiempo casi real de contenido de detección único que aborda amenazas relevantes. Los usuarios registrados de SOC Prime pueden acceder a la regla Sigma creada por nuestro agudo desarrollador del Programa de Recompensas de Amenazas, Osman Demir. Al unirse a las filas del Programa de Recompensas de Amenazas, investigadores individuales y cazadores de amenazas pueden hacer sus propias contribuciones a la defensa cibernética colaborativa.
Asegúrese de registrarse o iniciar sesión en la plataforma de SOC Prime con su cuenta activa para profundizar en la regla Sigma disponible en el enlace a continuación:
Esta detección está alineada con el marco MITRE ATT&CK® y aborda la táctica de Persistencia con Ejecución de Inicio o Registro Automático (T1547) como su técnica principal. Los practicantes de InfoSec pueden cambiar fácilmente entre múltiples formatos de SIEM, EDR y XDR para obtener el código fuente de la regla aplicable a más de 19 soluciones de seguridad. La regla Sigma mencionada anteriormente también se puede aplicar para buscar instantáneamente amenazas asociadas con el Backdoor DNS .NET de Lyceum utilizando el módulo de Búsqueda Rápida de SOC Prime.
Para obtener acceso a la lista completa de reglas de detección y consultas de caza asociadas con la actividad maliciosa de los actores de amenaza de Luceum, haga clic en el botón Detectar y Cazar a continuación. Los practicantes de ciberseguridad también pueden navegar instantáneamente en el motor de búsqueda de amenazas cibernéticas de SOC Prime para acceder a las principales tendencias, ver las actualizaciones de contenido más recientes y explorar información contextual completa, incluidas referencias MITRE ATT&CK, enlaces CTI, descripciones CVE y más sin registro y directamente desde un solo lugar.
Detectar y Cazar Explorar el Contexto de la Amenaza
Análisis del Backdoor DNS .NET de Lyceum
El equipo de Zscaler ThreatLabz ha informado recientemente a la comunidad global de ciberseguridad sobre un malware DNS basado en .NET utilizado en la última campaña del grupo Lyceum. El colectivo de hacking respaldado por el estado iraní también rastreado como COBALT LYCEUM or HEXANE tiene una historia de más de cinco años en el ámbito de amenazas cibernéticas, operando principalmente con malware basado en .NET. En la última campaña de malware, el grupo ha desarrollado una nueva versión de Backdoor DNS personalizando el código de una herramienta de código abierto. En estos ataques, el backdoor mediante la llamada técnica de “Secuestro de DNS” abusa del protocolo DNS para la comunicación con el servidor C2, permitiendo a los atacantes realizar operaciones maliciosas mientras evitan la detección. Esta técnica de ataque permite a los actores de amenazas obtener control sobre el servidor DNS y manipular la respuesta a las consultas DNS.
En esta última campaña del grupo Lyceum, la cadena de infección se desencadena por un archivo de Word habilitado con macros, que sirve como señuelo utilizando un tema afiliado militar. Una vez habilitado, el contenido de la macro lleva a la entrega del Backdoor DNS en la computadora infectada. El malware, también denominado “DnsSystem”, permite a los adversarios ejecutar remotamente comandos del sistema en las máquinas comprometidas, incluyendo la capacidad de subir y descargar archivos desde el servidor C2 explotando los registros DNS.
Con múltiples grupos APT ampliando el alcance de su impacto y evolucionando su arsenal de herramientas adversarias, las organizaciones progresivas buscan continuamente nuevas formas de reforzar la resiliencia cibernética. La plataforma de SOC Prime permite a los practicantes de InfoSec impulsar su potencial de defensa cibernética aprovechando el contenido de Detección-como-Código curado junto con capacidades automatizadas de caza de amenazas y transmisión de contenido. ¿Buscando oportunidades para contribuir a la experiencia colectiva en ciberseguridad? Programa de Recompensas de Amenazas es la iniciativa de crowdsourcing de SOC Prime que permite a los investigadores de ciberseguridad monetizar su propio contenido de detección, obtener beneficios financieros y ganar reconocimiento entre sus pares de la industria.
