Hackeri, ktorí sa zameriavajú na Mjanmarsko, používajú fronting domén na skrytie škodlivých aktivít

Zistila sa škodlivá kampaň využívajúca techniku ​​zvanú doménové frontovanie na skrytie prevádzky príkazov a riadenia využitím legitímnej domény vo vlastníctve mjanmarskej vlády na smerovanie komunikácie na server kontrolovaný útočníkom s cieľom vyhnúť sa detekcii.

Hrozba, ktorá bola pozorovaná v septembri 2021, nasadila užitočné zaťaženie Cobalt Strike ako odrazový mostík na začatie ďalších útokov, pričom protivník používal doménu spojenú s mjanmarskou sieťou Digital News, štátnymi digitálnymi novinami, ako zásterku pre svoje majáky. .

„Keď je Beacon spustený, odošle požiadavku DNS na legitímnu doménu s vysokou reputáciou hosťovanou za infraštruktúrou Cloudflare a upraví nasledujúcu hlavičku HTTPs požiadaviek tak, aby inštruovala CDN, aby nasmerovala prevádzku na hostiteľa kontrolovaného útočníkom,“ výskumníci Cisco Talos. Chetan Raghuprasad, Vanja Svajcer a Asheer Malhotra uviedli v technickej analýze zverejnenej v utorok.

Cobalt Strike, pôvodne vydaný v roku 2012, aby sa zaoberal vnímanými nedostatkami v populárnom rámci Metasploit na penetračné testovanie a hackovanie, je populárny červený tímový softvér, ktorý používajú penetrační testeri na emuláciu aktivity hroziacich aktérov v sieti.

Ale keďže tento nástroj simuluje útoky skutočným vykonávaním týchto útokov, softvér sa čoraz viac ukazuje ako impozantná zbraň v rukách prevádzkovateľov malvéru, ktorí ho používajú ako počiatočný prístupový náklad, ktorý útočníkom umožňuje vykonávať rôznorodú škálu post- vykorisťovacie činnosti vrátane laterálneho pohybu a nasadenia širokého spektra škodlivého softvéru.

Prevádzka majáku Cobalt Strike

Hoci aktéri hrozby môžu získať Cobalt Strike zakúpením nástroja priamo z webovej stránky predajcu za $3500 na používateľa za ročnú licenciu, dá sa kúpiť aj na temnom webe cez podzemné hackerské fóra, prípadne sa môžu dostať k cracknutým, nelegitímnym verziám softvéru.

V najnovšej kampani, ktorú spozoroval Talos, má spustenie majáku za následok, že stroj obete odošle počiatočnú požiadavku DNS vláde vlastnenému hostiteľovi, zatiaľ čo skutočná prevádzka príkazov a ovládania (C2) je tajne presmerovaná na útočníkom ovládanú prevádzku. server, ktorý efektívne napodobňuje legitímne vzorce prevádzky v snahe uniknúť detekcii bezpečnostnými riešeniami.

„Zatiaľ čo predvolená doména C2 bola špecifikovaná ako www[.]mdn[.]vlád[.]mm, bola premávka majáku presmerovaná na de-facto test C2[.]mäkkýš[.]net cez HTTP Get a POST metadáta špecifikované v konfigurácii majáka,” uviedli výskumníci. “Požiadavka DNS pre počiatočného hostiteľa sa prenesie na IP adresu vlastnenú Cloudflare, ktorá útočníkovi umožňuje využívať fronting domény a posielať prevádzku do skutočného C2. test hostiteľa[.]mäkkýš[.]net, tiež zastúpený Cloudflare.“

Server C2 však už nie je aktívny, podľa výskumníkov, ktorí poznamenali, že ide o a Windows server so službou Internet Information Services (IIS).

“Presmerovanie domény je možné dosiahnuť presmerovaním medzi škodlivým serverom a cieľom. Zločinní aktéri môžu zneužiť rôzne siete na doručovanie obsahu (CDN) na nastavenie presmerovaní poskytovania obsahu na obsah obsluhovaný útočníkmi kontrolovanými hostiteľmi C2,” uviedli vedci. . “Obrancovia by mali monitorovať svoju sieťovú prevádzku dokonca aj v doménach s vysokou reputáciou, aby identifikovali potenciálne útoky na fronte domény pomocou Cobalt Strike a iných útočných nástrojov.”