Rilevamento della Backdoor DNS di Lyceum .NET: il Gruppo APT Sostenuto dalla Nazione Iraniana Sfrutta Nuovo Malware di Dirottamento
Indice:
Ricercatori di cybersecurity hanno recentemente fatto luce su una serie di nuovi attacchi informatici condotti dal gruppo APT supportato dallo stato iraniano noto con il nome di “Lyceum”, conosciuto anche come HEXANE. Gli attori di Lyceum operano nell’arena delle minacce informatiche dal 2017, prendendo di mira principalmente le organizzazioni del Medio Oriente nei settori dell’energia e delle telecomunicazioni. Nella più recente campagna del gruppo Lyceum, gli attori della minaccia hanno applicato un nuovo Backdoor basato su .NET, che sfrutta una tecnica di avversario conosciuta come DNS Hijacking.
Rileva il Backdoor DNS basato su .NET personalizzato dal gruppo Lyceum
Per aiutare le organizzazioni a identificare tempestivamente la presenza dannosa di un nuovo Backdoor DNS basato su .NET di Lyceum nella loro infrastruttura, la piattaforma di SOC Prime cura la consegna quasi in tempo reale di contenuti di rilevamento unici che affrontano le minacce pertinenti. Gli utenti registrati di SOC Prime possono accedere alla regola Sigma creata dal nostro esperto sviluppatore del Programma Threat Bounty, Osman Demir. Unendosi ai ranghi del Programma Threat Bounty, ricercatori individuali e cacciatori di minacce possono contribuire alla difesa informatica collaborativa.
Assicurati di iscriverti o accedere alla piattaforma di SOC Prime con il tuo account attivo per approfondire la regola Sigma disponibile al link qui sotto:
Questo rilevamento è allineato con il framework MITRE ATT&CK® e affronta la tattica di Persistenza con Esecuzione di Avvio o Login Automatica (T1547) come sua tecnica principale. I professionisti InfoSeC possono facilmente passare tra diversi formati SIEM, EDR e XDR per ottenere il codice sorgente della regola applicabile a oltre 19 soluzioni di sicurezza. La regola Sigma sopra menzionata può anche essere applicata per cercare immediatamente le minacce associate al Backdoor DNS .NET di Lyceum utilizzando il modulo Quick Hunt di SOC Prime.
Per accedere alla lista completa delle regole di rilevamento e delle query di ricerca associate all’attività dannosa degli attori della minaccia Luceum, clicca sul pulsante Rileva & Caccia qui sotto. I professionisti della cybersecurity possono anche navigare istantaneamente il motore di ricerca delle minacce informatiche di SOC Prime per accedere alle tendenze principali, visualizzare gli aggiornamenti dei contenuti più recenti ed esplorare informazioni contestuali complete, incluse le citazioni MITRE ATT&CK, i collegamenti CTI, le descrizioni CVE e altro, senza registrazione e direttamente da un unico luogo.
Rileva & Caccia Esplora il Contesto delle Minacce
Analisi del Backdoor DNS .NET di Lyceum
Il team Zscaler ThreatLabz ha recentemente informato la comunità globale della cybersecurity di un nuovo malware DNS basato su .NET utilizzato nella più recente campagna del gruppo Lyceum. Il collettivo di hacker supportato dallo stato iraniano, tracciato anche come COBALT LYCEUM or HEXANE , ha una storia di oltre cinque anni nell’arena delle minacce informatiche operando principalmente con malware basato su .NET. Nella più recente campagna di malware, il gruppo ha sviluppato una nuova versione del Backdoor DNS personalizzando il codice di uno strumento open-source. In questi attacchi, il backdoor mediante la tecnica chiamata “DNS Hijacking” abusa del protocollo DNS per la comunicazione con il server C2 permettendo agli attaccanti di eseguire operazioni dannose mentre evitano il rilevamento. Questa tecnica di attacco consente agli attori della minaccia di prendere il controllo del server DNS e manipolare la risposta alle query DNS.
In questa ultima campagna del gruppo Lyceum, la catena di infezione è innescata da un file Word abilitato da macro, che funge da esca utilizzando un argomento affiliato a militari. Una volta attivato, il contenuto della macro porta ulteriormente alla consegna del Backdoor DNS sul computer infetto. Il malware, chiamato anche “DnsSystem”, consente agli avversari di eseguire comandi di sistema da remoto sulle macchine compromesse, inclusa la capacità di caricare e scaricare file dal server C2 sfruttando i record DNS.
Con più gruppi APT che ampliano l’ambito di impatto ed evolvono il loro toolkit avversario, le organizzazioni progressiste cercano continuamente nuovi modi per rafforzare la resilienza informatica. La piattaforma di SOC Prime consente ai professionisti InfoSec di potenziare il loro potenziale di difesa informatica sfruttando contenuti di Detection-as-Code curati in congiunzione con funzionalità di caccia alle minacce automatizzate e streaming di contenuti. In cerca di opportunità per contribuire all’expertise collettiva sulla cybersecurity? Programma Threat Bounty è l’iniziativa di crowdsourcing di SOC Prime che permette ai ricercatori di cybersecurity di monetizzare i propri contenuti di rilevamento, ottenere vantaggi finanziari e guadagnare riconoscimento tra i colleghi del settore.
