Detecção de Backdoor DNS .NET do Lyceum: Grupo APT Iraniano Patrocinado pelo Estado Utiliza Novo Malware de Seqüestro
Índice:
Pesquisadores de cibersegurança recentemente lançaram luz sobre uma onda de novos ataques cibernéticos pelo grupo APT apoiado pela nação iraniana, atuando sob o apelido “Lyceum”, também conhecido como HEXANE. Os atores do Lyceum têm operado no arena de ameaças cibernéticas desde 2017, principalmente visando organizações do Oriente Médio nos setores de energia e telecomunicações. Na última campanha do grupo Lyceum, os atores de ameaça aplicaram uma Backdoor inédita baseada em .NET, que tira proveito de uma técnica adversária de Sequestro de DNS.
Detectar Backdoor DNS .NET Personalizada pelo Grupo Lyceum
Para ajudar as organizações a identificar a presença maliciosa de uma nova Backdoor DNS .NET Lyceum em sua infraestrutura a tempo, a plataforma da SOC Prime oferece a entrega em tempo quase real de conteúdo de detecção único que aborda ameaças relevantes. Usuários registrados da SOC Prime podem acessar a regra Sigma elaborada por nosso desenvolvedor atento do Programa Threat Bounty, Osman Demir. Ao se unir às fileiras do Programa Threat Bounty, pesquisadores individuais e caçadores de ameaças podem fazer suas próprias contribuições para a defesa cibernética colaborativa.
Certifique-se de se inscrever ou fazer login na plataforma da SOC Prime com sua conta ativa para aprofundar-se na regra Sigma disponível pelo link abaixo:
Esta detecção está alinhada com o framework MITRE ATT&CK® e aborda a tática de Persistência com Execução de Inicialização ou Logon (T1547) como sua técnica principal. Profissionais de InfoSec podem facilmente alternar entre múltiplos formatos de SIEM, EDR e XDR para obter o código fonte da regra aplicável a mais de 19 soluções de segurança. A regra Sigma acima mencionada também pode ser aplicada para caçar instantaneamente ameaças associadas ao Backdoor DNS .NET Lyceum usando o módulo Quick Hunt .
Para obter acesso à lista abrangente de regras de detecção e consultas de caça associadas à atividade maliciosa dos atores de ameaça Luceum, clique no botão Detect & Hunt abaixo. Profissionais de cibersegurança também podem navegar instantaneamente pelo mecanismo de busca de ameaças cibernéticas da SOC Prime para acessar as principais tendências, visualizar as atualizações de conteúdo mais recentes e explorar informações contextuais completas, incluindo referências MITRE ATT&CK, links CTI, descrições CVE e mais sem registro, direto de um único local.
botão Detect & Hunt Explorar Contexto de Ameaças
Análise de Backdoor DNS .NET Lyceum
A equipe Zscaler ThreatLabz recentemente informou a comunidade global de cibersegurança sobre um novo malware DNS baseado em .NET usado na mais recente campanha do grupo Lyceum. O coletivo hacker apoiado pelo estado iraniano, também rastreado como COBALT LYCEUM or HEXANE tem uma história de mais de cinco anos na arena de ameaças cibernéticas, operando principalmente com malware baseado em .NET. Na última campanha de malware, o grupo desenvolveu uma nova versão de Backdoor DNS personalizando um código de ferramenta de código aberto. Nesses ataques, o backdoor, por meio da técnica chamada “Sequestro de DNS”, abusa do protocolo DNS para comunicação com o servidor C2, permitindo que os atacantes realizem operações maliciosas enquanto evitam a detecção. Esta técnica permite que os atores de ameaça ganhem controle sobre o servidor DNS e manipulem a resposta às consultas DNS.
Na mais recente campanha do grupo Lyceum, a cadeia de infecção é acionada por um arquivo Word com macro habilitado, que serve como isca usando um tópico afiliado militar. Uma vez habilitado, o conteúdo da macro leva a uma maior entrega do Backdoor DNS no computador infectado. O malware, também chamado de “DnsSystem”, permite que adversários executem remotamente comandos do sistema em máquinas comprometidas, incluindo a capacidade de enviar e baixar arquivos do servidor C2 explorando registros DNS.
Com vários grupos APT expandindo o escopo de impacto e evoluindo seu conjunto de ferramentas adversárias, organizações progressistas estão continuamente buscando novas maneiras de reforçar a resiliência cibernética. A plataforma da SOC Prime permite que profissionais de InfoSec aumentem o potencial de defesa cibernética aproveitando conteúdo curado como Detecção-como-Código em conjunto com capacidades automáticas de caça a ameaças e transmissão de conteúdo. Procurando por oportunidades de contribuir para a expertise cibernética coletiva? Programa Threat Bounty é a iniciativa de crowdsourcing da SOC Prime que permite que pesquisadores de cibersegurança monetizem seu próprio conteúdo de detecção, obtenham benefícios financeiros e ganhem reconhecimento entre seus pares da indústria.
