- 9,497
- 18
- 8 Ноя 2022
Новая версия вредоноса направлена на Linux, не фиксируется антивирусами, а нарушить её связь с C2-сервером невозможно.
Китайская группа угроз «Chameldgang» активно заражает Linux -устройства ранее неизвестным вредоносным программным обеспечением под названием «ChamelDoH», позволяющим осуществлять связь с серверами злоумышленников по протоколу DNS-over-HTTPS .
Chameldgang Для просмотра ссылки Войдиили Зарегистрируйся ещё в сентябре 2021 года компанией Positive Technologies; однако тогда исследователи имели дело с экземпляром вредоносного ПО для Windows.
В отчёте, Для просмотра ссылки Войдиили Зарегистрируйся компанией Stairwell , описывается новый экземпляр вредоноса, написанный на Для просмотра ссылки Войди или Зарегистрируйся и нацеленный на Linux-системы. Появление данной версии вредоноса ощутимо расширяет арсенал злоумышленников и увеличивает целевую аудиторию для потенциальных атак.
Связь между ChamelGang и новой вредоносной программой для Linux основана на домене, ранее связанном с группой злоумышленников, а также пользовательском инструменте повышения привилегий, который специалисты Positive Technologies наблюдали в прошлой кампании ChamelGang.
Занимательно, что ChamelDoH использует протокол DNS-over-HTTPS (DoH) для обеспечения зашифрованной связи между зараженным устройством и C2-сервером злоумышленников, делая вредоносные запросы неотличимыми от обычного HTTPS-трафика.
Кроме того, поскольку DNS-запросы используют законные DoH-серверы Google и Cloudflare, заблокировать их практически невозможно без ущерба для легитимного трафика.
Также все сообщения между вредоносом и сервером зашифрованы с использованием AES-128 и модифицированной кодировки base64 . Эта модификация позволяет вредоносному ПО отправлять любые текстовые запросы, скрывая их природу и снижая вероятность обнаружения.
После активации вредоносная программа собирает основные данные о заражённом хосте, включая имя устройства, IP-адрес, архитектуру процессора и версию системы, а затем присваивает данному хосту уникальный идентификатор.
Исследователи Stairwell обнаружили, что ChamelDoH поддерживает следующие команды, которые его операторы могут выполнять удалённо через запросы DNS-over-HTTPS:
Разумеется, в своём отчёте исследователи предоставили индикаторы компрометации (IoC) для обнаружения вредоноса, и уже в скором времени антивирусные движки начнут на него реагировать.
Китайская группа угроз «Chameldgang» активно заражает Linux -устройства ранее неизвестным вредоносным программным обеспечением под названием «ChamelDoH», позволяющим осуществлять связь с серверами злоумышленников по протоколу DNS-over-HTTPS .
Chameldgang Для просмотра ссылки Войди
В отчёте, Для просмотра ссылки Войди
Связь между ChamelGang и новой вредоносной программой для Linux основана на домене, ранее связанном с группой злоумышленников, а также пользовательском инструменте повышения привилегий, который специалисты Positive Technologies наблюдали в прошлой кампании ChamelGang.
Занимательно, что ChamelDoH использует протокол DNS-over-HTTPS (DoH) для обеспечения зашифрованной связи между зараженным устройством и C2-сервером злоумышленников, делая вредоносные запросы неотличимыми от обычного HTTPS-трафика.
Кроме того, поскольку DNS-запросы используют законные DoH-серверы Google и Cloudflare, заблокировать их практически невозможно без ущерба для легитимного трафика.
Также все сообщения между вредоносом и сервером зашифрованы с использованием AES-128 и модифицированной кодировки base64 . Эта модификация позволяет вредоносному ПО отправлять любые текстовые запросы, скрывая их природу и снижая вероятность обнаружения.
После активации вредоносная программа собирает основные данные о заражённом хосте, включая имя устройства, IP-адрес, архитектуру процессора и версию системы, а затем присваивает данному хосту уникальный идентификатор.
Исследователи Stairwell обнаружили, что ChamelDoH поддерживает следующие команды, которые его операторы могут выполнять удалённо через запросы DNS-over-HTTPS:
- rub — выполнить команду file / shell;
- sleep — устанавить количество секунд до следующей регистрации;
- wget — загрузить файла с определённого URL-адреса;
- upload — считать и выгрузить файл;
- download — загрузить и записать файл;
- rm — удалить файл;
- cp — скопировать файл в новое местоположение;
- cd — изменить рабочий каталог.
Разумеется, в своём отчёте исследователи предоставили индикаторы компрометации (IoC) для обнаружения вредоноса, и уже в скором времени антивирусные движки начнут на него реагировать.
- Источник новости
- www.securitylab.ru
