Grupo APT iraní se convierte en el primero en utilizar públicamente DoH

0

Hackers de APT34 utilizan el protocolo DoH para filtrar silenciosamente datos de redes pirateadas

Hackers de APT34 utilizan el protocolo DoH para filtrar silenciosamente datos de redes pirateadas

Un grupo de hackers iraní conocido como Oilrig, se ha convertido en el primer actor de amenazas conocido públicamente en incorporar el protocolo DNS sobre HTTPS (DoH) en sus ataques.

Vicente Díaz, analista de malware para Kaspersky, dijo en un seminario web la semana pasada que el cambio ocurrió en mayo de este año, cuando Oilrig agregó una nueva herramienta a su arsenal de piratería.

Según Díaz, los operadores de Oilrig comenzaron a usar una nueva utilidad llamada DNSExfiltrator como parte de sus intrusiones en las redes pirateadas.

DNSExfiltrator es un proyecto de código abierto disponible en GitHub que crea canales de comunicación encubiertos mediante la canalización de datos y luego ocultarlos dentro de protocolos no estándar.

La herramienta puede transferir datos entre dos puntos usando solicitudes DNS clásicas, pero también puede usar el protocolo DoH más nuevo.

Díaz dijo que Oilrig, también conocido como APT34, ha estado utilizando DNSExfiltrator para mover datos lateralmente a través de redes internas y luego exfiltrarlos a un punto externo.

Es probable que Oilrig utilice DoH como un canal de exfiltración para evitar que sus actividades sean detectadas o monitoreadas mientras mueve datos robados.

Esto se debe a que el protocolo DoH es actualmente un canal de exfiltración ideal por dos principales razones. Una es que se trata de un nuevo protocolo que no todos los productos de seguridad son capaces de monitorear. Luego, está cifrado de forma predeterminada, mientras que DNS es texto sin cifrar.

El hecho de que Oilrig fue una de las primeras APT (Amenazas Persistentes Avanzadas, un término que se usa para describir grupos de piratería respaldados por el gobierno), para desplegar DoH no es realmente una sorpresa.

Durante su historia, el grupo ha incursionado en técnicas de exfiltración basadas en DNS. Antes de adoptar el kit de herramientas DNSExfiltrator de código abierto en mayo, el grupo había estado utilizando una herramienta personalizada llamada DNSpionage desde al menos 2018, según informes de Talos, NSFOCUS y Palo Alto Networks.

En la campaña de mayo, Kaspersky dijo que Oilrig extrajo datos a través de DoH a dominios relacionados con COVID-19.

Durante el mismo mes, Reuters informó independientemente, sobre una campaña de phishing dirigida por piratas informáticos iraníes no identificados, que atacó al gigante farmacéutico Gilead, que en ese momento anunció que comenzó a trabajar en un tratamiento para el virus COVID-19. Sin embargo, no está claro si se trata de los mismos incidentes.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *