El actor de amenazas conocido como ChamelGang ha sido observado utilizando un implante previamente no documentado para infiltrar sistemas Linux, lo que marca una nueva expansión en las capacidades de este actor de amenazas.
El malware, llamado ChamelDoH por Stairwell, es una herramienta basada en C++ que utiliza DNS sobre HTTPS (DoH) para comunicarse.
ChamelGang fue expuesto por primera vez por la firma de ciberseguridad rusa Positive Technologies en septiembre de 2021, detallando sus ataques a las industrias de producción de combustible, energía y aviación en Rusia, Estados Unidos, India, Nepal, Taiwán y Japón.
Las cadenas de ataques llevadas a cabo por este actor se han aprovechado de vulnerabilidades en servidores Microsoft Exchange y Red Hat JBoss Enterprise Application para obtener acceso inicial y llevar a cabo ataques de robo de datos utilizando una puerta trasera pasiva llamada DoorMe.
"Se trata de un módulo nativo de IIS que se registra como un filtro a través del cual se procesan las solicitudes y respuestas HTTP", afirmó Positive Technologies en su momento. "Su principio de funcionamiento es inusual: la puerta trasera solo procesa aquellas solicitudes en las que se establece el parámetro correcto de cookie".
Por su parte, la puerta trasera de Linux descubierta por Stairwell está diseñada para recopilar información del sistema y es capaz de realizar operaciones de acceso remoto, como cargar, descargar y eliminar archivos, así como ejecutar comandos de shell.
Lo que hace único a ChamelDoH es su novedoso método de comunicación a través de DoH, que se utiliza para realizar resoluciones del Sistema de Nombres de Dominio (DNS) a través del protocolo HTTPS, y así enviar solicitudes DNS TXT a un servidor de nombres malicioso.
"Debido a que estos proveedores de DoH son servidores DNS comúnmente utilizados [como Cloudflare y Google] para tráfico legítimo, no se pueden bloquear fácilmente a nivel empresarial", afirmó el investigador de Stairwell, Daniel Mayer.
El uso de DoH para el comando y control (C2) también ofrece beneficios adicionales al actor de amenazas, ya que las solicitudes no pueden ser interceptadas mediante un ataque de adversario-en-el-medio (AitM) debido al uso del protocolo HTTPS.
Esto significa que las soluciones de seguridad no pueden identificar y prohibir solicitudes maliciosas de DoH y cortar la comunicación, convirtiéndola en un canal cifrado entre un host comprometido y el servidor C2.
"El resultado de esta táctica es similar al enmascaramiento de C2 a través de dominios, donde el tráfico se envía a un servicio legítimo alojado en una CDN, pero se redirige a un servidor C2 a través de la cabecera de la solicitud 'Host' - tanto la detección como la prevención son difíciles", explicó Mayer.
La empresa de ciberseguridad con sede en California afirmó que detectó un total de 10 muestras de ChamelDoH en VirusTotal, una de las cuales fue cargada el 14 de diciembre de 2022.
Los últimos hallazgos muestran que "el grupo también ha dedicado considerable tiempo y esfuerzo a investigar y desarrollar un conjunto de herramientas igualmente robusto para intrusiones en Linux", afirmó Mayer.
https://stairwell.com/news/chamelgang-and-chameldoh-a-dns-over-https-implant/
