Détection de la porte dérobée DNS .NET de Lyceum : Un groupe APT soutenu par l’Iran utilise un nouveau malware de détournement

Des chercheurs en cybersécurité ont récemment révélé une vague de nouvelles cyberattaques par le groupe APT soutenu par l’État iranien opérant sous le pseudonyme « Lyceum » également connu sous le nom de HEXANE. Les acteurs de Lyceum opèrent dans le domaine des cybermenaces depuis 2017, ciblant principalement des organisations du Moyen-Orient dans les secteurs de l’énergie et des télécommunications. Dans la dernière campagne du groupe Lyceum, les acteurs de la menace ont appliqué un nouveau cheval de Troie .NET basé sur une technique de détournement DNS.

Détecter le cheval de Troie DNS .NET personnalisé par le groupe Lyceum

Pour aider les organisations à identifier en temps opportun la présence malveillante d’un nouveau cheval de Troie DNS .NET Lyceum dans leur infrastructure, la plateforme de SOC Prime propose une livraison quasi en temps réel de contenu de détection unique adressant les menaces concernées. Les utilisateurs enregistrés de SOC Prime peuvent accéder à la règle Sigma élaborée par notre développeur expert du programme Threat Bounty, Osman Demir. En rejoignant les rangs du Programme Threat Bounty, les chercheurs et chasseurs de menaces individuels peuvent apporter leurs propres contributions à la défense cyber collaborative.

Assurez-vous de vous inscrire ou de vous connecter à la plateforme de SOC Prime avec votre compte actif pour accéder à la règle Sigma disponible via le lien ci-dessous :

Persistance suspecte du cheval de Troie DNS .NET Lyceum via l’écriture d’un fichier PE dans le démarrage (via file_event) – Juin 2022

Cette détection est alignée sur le cadre MITRE ATT&CK® et aborde la tactique de persistance avec l’exécution d’autostart au démarrage ou à la connexion (T1547) comme technique principale. Les praticiens de l’InfoSeC peuvent facilement alterner entre plusieurs formats SIEM, EDR et XDR pour obtenir le code source de la règle applicable à plus de 19 solutions de sécurité. La règle Sigma mentionnée ci-dessus peut également être appliquée pour traquer instantanément les menaces associées au cheval de Troie DNS .NET Lyceum en utilisant le module Quick Hunt .

Pour accéder à la liste complète des règles de détection et des requêtes de chasse associées à l’activité malveillante des acteurs de la menace Lyceum, cliquez sur le bouton Detect & Hunt ci-dessous. Les praticiens de la cybersécurité peuvent également explorer instantanément le moteur de recherche sur les cybermenaces de SOC Prime pour accéder aux tendances principales, consulter les mises à jour de contenu les plus récentes et explorer l’ensemble des informations contextuelles, y compris les références MITRE ATT&CK, les liens CTI, les descriptions CVE et plus encore, sans inscription et directement à partir d’un seul endroit.

Detect & Hunt Explorer le contexte des menaces

Analyse du Cheval de Troie DNS .NET Lyceum

L’équipe Zscaler ThreatLabz a récemment informé la communauté mondiale de la cybersécurité d’un nouveau logiciel malveillant DNS basé sur .NET utilisé dans la dernière campagne du groupe Lyceum. Le collectif de hackers soutenu par l’État iranien également connu sous le nom de COBALT LYCEUM or HEXANE a plus de cinq ans d’histoire dans le domaine des cybermenaces, opérant principalement avec le logiciel malveillant basé sur .NET. Dans la dernière campagne de logiciels malveillants, le groupe a développé une nouvelle version de cheval de Troie DNS en personnalisant un code d’outil open source. Dans ces attaques, le cheval de Troie utilise la technique appelée « Détournement DNS », abusant du protocole DNS pour communiquer avec le serveur C2, permettant ainsi aux attaquants d’effectuer des opérations malveillantes tout en évitant la détection. Cette technique d’attaque permet aux acteurs de la menace de prendre le contrôle du serveur DNS et de manipuler la réponse aux requêtes DNS.

Dans cette dernière campagne du groupe Lyceum, la chaîne d’infection est déclenchée par un fichier Word activé par macro, servant d’appât en utilisant un sujet lié à l’armée. Une fois activé, le contenu macro conduit à la livraison du cheval de Troie DNS sur l’ordinateur infecté. Le logiciel malveillant également surnommé « DnsSystem » permet aux adversaires d’exécuter à distance des commandes système sur les machines compromises, y compris la capacité de télécharger et télécharger des fichiers depuis le serveur C2 en exploitant les enregistrements DNS.

Avec plusieurs groupes APT élargissant l’ampleur de leur impact et faisant évoluer leur boîte à outils d’adversaire, les organisations progressives recherchent continuellement de nouvelles façons de renforcer leur résilience cyber. La plateforme de SOC Prime permet aux praticiens de l’InfoSec d’améliorer leur potentiel de défense cyber en utilisant du contenu de détection en tant que code sélectionné en conjonction avec des capacités de chasse aux menaces automatisées et de diffusion de contenu. Vous recherchez des opportunités de contribuer à l’expertise collective en cybersécurité ? Programme Threat Bounty est l’initiative de crowdsourcing de SOC Prime permettant aux chercheurs en cybersécurité de monétiser leur propre contenu de détection, d’obtenir des avantages financiers, et d’obtenir une reconnaissance parmi leurs pairs de l’industrie.