El grupo cibercriminal iraní, Lyceum APT, utiliza una nueva puerta trasera DNS basada en .NET para realizar ataques a empresas de los sectores de la energía y las telecomunicaciones.

Lyceum es una APT apoyada por el Estado, también conocida como Hexane o Spilrin, que ha atacado anteriormente a proveedores de servicios de comunicación en Oriente Medio utilizando puertas traseras de canalización de DNS.

Un reciente análisis de Zscaler presenta una nueva puerta trasera DNS basada en la herramienta de código abierto DIG.net para llevar a cabo ataques de “secuestro de DNS”, ejecutar comandos, soltar más cargas útiles y exfiltrar datos.

El secuestro de DNS es un ataque de redirección que se basa en la manipulación de consultas DNS para llevar a un usuario que intenta visitar un sitio legítimo a un clon malicioso alojado en un servidor bajo el control del actor de la amenaza.

Cualquier información introducida en el sitio web malicioso, como las credenciales de la cuenta, se compartirá directamente con el actor de la amenaza.

Además de realizar ataques de secuestro de DNS, el backdoor también puede recibir comandos del C2 para ejecutarlos en la máquina comprometida. Las respuestas tienen la forma de registros TXT.

Estos comandos se ejecutan a través de la herramienta cmd.exe (símbolo del sistema de Windows), y la salida se envía de vuelta al C2 como un registro DNS A.

Además, el backdoor puede exfiltrar archivos locales al C2 o descargar archivos de un recurso remoto y soltar cargas útiles adicionales.

Lyceum es una organización centrada en el ciberespionaje, y este nuevo backdoor sigiloso y potente es la marca de su evolución en este campo.

Se espera que los ciberdelincuentes iraníes sigan participando en estas campañas de recopilación de información que suelen implicar a múltiples grupos de amenazas del país.

Info – Ciberseguridad Latam