鑽石舞台

摘 要

Dragos 報告稱，Hexane專注於石油和天然氣行業的組織以及電信提供商。該組織至少從 2018 年年中就開始活躍起來，隨着中東緊張局勢的升級，它在 2019 年初加強了活動。

Zscaler ThreatLabz 研究人員最近發現了一個新的活動，其中APT組織正在使用一個新的基於 .NET的後門針對中東。DNS後門從名為DIG.net的開源工具中借用代碼，用於執行「DNS劫持」。

「該惡意軟件利用了一種稱為「DNS劫持」的DNS攻擊技術，在這種技術中，攻擊者控制的 DNS 服務器操縱 DNS 查詢的響應，並根據其惡意要求解決它們。」 讀取ZScaler發布的分析。「該惡意軟件使用DNS協議進行命令和控制(C2)通信，這增加了隱蔽性並使惡意軟件通信探測處於雷達之下以逃避檢測。」

後門支持多種功能，包括上傳/下載文件和通過濫用 DNS 記錄在受感染機器上執行系統命令，包括傳入命令的 TXT 記錄和數據泄露的 A 記錄。

研究人員觀察到的攻擊鏈始於使用武器化 Word 文檔偽裝成與伊朗軍事有關的新聞報道的魚叉式網絡釣魚信息。

DNS 劫持是一種重定向攻擊，它依賴於 DNS 查詢操作，將試圖訪問合法站點的用戶帶到威脅參與者控制下的服務器上託管的惡意克隆。

啟用宏查看內容後，當用戶關閉文檔時DNS後門將被投放到系統中。攻擊者利用 AutoClose() 函數將 DNS 後門放到系統中。AutoClose() 函數從文檔第 7 頁上的文本框中讀取 PE 文件。

這個 PE 文件被放入 Startup 文件夾以通過宏代碼保持持久性，然後在重新啟動系統時，執行 DNS 後門。

「被丟棄的二進制文件是一個名為「DnsSystem」的基於.NET的DNS後門，它允許威脅參與者遠程執行系統命令並在受感染的機器上上傳/下載數據。」 繼續報告。「最初，惡意軟件通過 DIG 使用 Dns.GetHostAddresses() 獲取域名「cyberclub[.]one」= 85[.]206[.]175[.]199 的 IP 地址來設置攻擊者控制的 DNS 服務器解析器功能，進而觸發對cyberclub[.]one 的DNS 請求以解析IP 地址。現在，這個 IP 與自定義攻擊者控制的 DNS 服務器相關聯，用於惡意軟件發起的所有進一步的 DNS 查詢。」

APT 團體繼續發展他們的 TTP，並採用新的反分析和反逃避技術。