与伊朗有关的 Lyceum APT 组织为其武器库添加了一个新的 .NET DNS 后门

摘  要

Dragos 报告称，Hexane专注于石油和天然气行业的组织以及电信提供商。该组织至少从 2018 年年中就开始活跃起来，随着中东紧张局势的升级，它在 2019 年初加强了活动。

Zscaler ThreatLabz 研究人员最近发现了一个新的活动，其中APT组织正在使用一个新的基于 .NET的后门针对中东。DNS后门从名为DIG.net的开源工具中借用代码，用于执行“DNS劫持”。

“该恶意软件利用了一种称为“DNS劫持”的DNS攻击技术，在这种技术中，攻击者控制的 DNS 服务器操纵 DNS 查询的响应，并根据其恶意要求解决它们。” 读取ZScaler发布的分析。“该恶意软件使用DNS协议进行命令和控制(C2)通信，这增加了隐蔽性并使恶意软件通信探测处于雷达之下以逃避检测。”

后门支持多种功能，包括上传/下载文件和通过滥用 DNS 记录在受感染机器上执行系统命令，包括传入命令的 TXT 记录和数据泄露的 A 记录。

研究人员观察到的攻击链始于使用武器化 Word 文档伪装成与伊朗军事有关的新闻报道的鱼叉式网络钓鱼信息。

DNS 劫持是一种重定向攻击，它依赖于 DNS 查询操作，将试图访问合法站点的用户带到威胁参与者控制下的服务器上托管的恶意克隆。

启用宏查看内容后，当用户关闭文档时DNS后门将被投放到系统中。攻击者利用 AutoClose() 函数将 DNS 后门放到系统中。AutoClose() 函数从文档第 7 页上的文本框中读取 PE 文件。

这个 PE 文件被放入 Startup 文件夹以通过宏代码保持持久性，然后在重新启动系统时，执行 DNS 后门。

“被丢弃的二进制文件是一个名为“DnsSystem”的基于.NET的DNS后门，它允许威胁参与者远程执行系统命令并在受感染的机器上上传/下载数据。” 继续报告。“最初，恶意软件通过 DIG 使用 Dns.GetHostAddresses() 获取域名“cyberclub[.]one”= 85[.]206[.]175[.]199 的 IP 地址来设置攻击者控制的 DNS 服务器解析器功能，进而触发对cyberclub[.]one 的DNS 请求以解析IP 地址。现在，这个 IP 与自定义攻击者控制的 DNS 服务器相关联，用于恶意软件发起的所有进一步的 DNS 查询。”

APT 团体继续发展他们的 TTP，并采用新的反分析和反逃避技术。