Los piratas informáticos que apuntan a Myanmar usan la fachada de dominio para ocultar actividades maliciosas

Se encontró una campaña insidiosa que utiliza una técnica llamada colas de dominio para ocultar el tráfico de comando y control de un dominio legítimo propiedad del gobierno de Myanmar para enrutar el tráfico a un servidor controlado por un atacante para evitar la detección.

La amenaza, observada en septiembre de 2021, desplegó una carga útil de Cobalt Strike como trampolín para lanzar más ataques, y el enemigo utilizó un dominio vinculado a Myanmar Digital News, el periódico digital del estado, como tapadera para sus balizas. .

«Cuando Beacon se ejecuta, envía una solicitud de DNS a un dominio legítimo de alta reputación alojado detrás de la infraestructura de Cloudflare y modifica los siguientes encabezados de solicitud de HTTP para indicarle a la CDN que enrute el tráfico a un host controlado por un atacante», investiga Cisco Talos. Chetan Raghuprasad, Vanja Svajcer y Asheer Malhotra dijeron en un análisis técnico publicado el martes.

Cobalt Strike, lanzado originalmente en 2012 para abordar las deficiencias percibidas en el popular marco de prueba y piratería Metasploit, es un popular software de equipo rojo utilizado por los evaluadores de penetración para emular la actividad de amenazas de red.

Pero a medida que la herramienta simula ataques ejecutándolos, el software está demostrando cada vez más ser un arma impresionante en manos de los operadores de malware que lo utilizan como una carga de acceso inicial, lo que permite a los atacantes realizar una amplia gama de acciones posteriores al abuso, incluido el acceso lateral. movimiento y despliegue escalas de malware.

Operación Cobalt Strike Lighthouse

Aunque los jugadores de amenazas pueden obtener Cobalt Strike comprando la herramienta directamente desde el sitio web del proveedor por $ 3500 por usuario para una licencia anual, también se puede comprar en el sitio oscuro a través de foros clandestinos de piratería o, alternativamente, se puede descifrar. , versión ilegítima del software.

En la última campaña registrada por Talos, la ejecución de la baliza da como resultado que la máquina de la víctima envíe una solicitud de DNS inicial a un host propiedad del gobierno, mientras que el tráfico real de comando y control (C2) se redirige en secreto al tráfico controlado por el atacante. un servidor que imita efectivamente los patrones de tráfico legítimos en un esfuerzo por escapar de la detección por parte de las soluciones de seguridad.

«Si bien el dominio C2 predeterminado se especificó como www[.]mdn[.]gobiernos[.]mm, la operación de baliza se redirigió a la prueba de facto C2[.]limón suave[.]net sobre HTTP Obtener y POST metadatos especificados en la configuración de la baliza «, dijeron los investigadores». prueba de host[.]limón suave[.]net, también mediada por Cloudflare».

Sin embargo, C2 ya no está activo, según los investigadores que notaron que era un servidor de Windows que ejecutaba Internet Information Services (IIS).

«Las colas de dominio se pueden lograr redirigiendo entre un servidor malicioso y un objetivo. Los actores criminales pueden explotar varias redes de entrega de contenido (CDN) para configurar la redirección del contenido entregado a contenido controlado por atacantes controlado por hosts C2», dijeron los investigadores. . «Los defensores deben monitorear el tráfico de su red incluso en dominios de alta reputación para identificar posibles ataques en el frente del dominio utilizando Cobalt Strike y otras herramientas de ataque».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática