Il gruppo di cybercriminali noto come ChamelGang è stato osservato mentre utilizzava un nuovo backdoor, non precedentemente documentato, per infiltrarsi nei sistemi Linux. Questa scoperta segna una nuova espansione delle capacità di minaccia del gruppo. Il malware, denominato ChamelDoH da Stairwell, è uno strumento basato su C++ per la comunicazione tramite tunneling DNS-over-HTTPS (DoH).
Chi è ChamelGang
ChamelGang è stato scoperto per la prima volta dalla società di cybersecurity russa Positive Technologies nel settembre 2021, che ha dettagliato i suoi attacchi alle industrie di produzione di carburanti, energia e aviazione in Russia, Stati Uniti, India, Nepal, Taiwan e Giappone. Le catene di attacco montate dall’attore hanno sfruttato vulnerabilità nei server Microsoft Exchange e in Red Hat JBoss Enterprise Application per ottenere un accesso iniziale e portare avanti attacchi di furto di dati utilizzando un backdoor passivo chiamato DoorMe.
Il backdoor Linux ChamelDoH
Il backdoor Linux scoperto da Stairwell è progettato per catturare informazioni di sistema ed è in grado di operazioni di accesso remoto come l’upload, il download, la cancellazione di file e l’esecuzione di comandi shell. Ciò che rende ChamelDoH unico è il suo nuovo metodo di comunicazione che utilizza DoH, che viene utilizzato per eseguire la risoluzione del Domain Name System (DNS) tramite il protocollo HTTPS, per inviare richieste DNS TXT a un server di nomi fasullo.
L’uso di DoH per il comando e il controllo
L’uso di DoH per il comando e il controllo offre ulteriori vantaggi all’attore della minaccia in quanto le richieste non possono essere intercettate tramite un attacco di avversario-in-the-middle (AitM) a causa dell’uso del protocollo HTTPS. Questo significa anche che le soluzioni di sicurezza non possono identificare e proibire le richieste DoH malevole e interrompere le comunicazioni, trasformandolo in un canale crittografato tra un host compromesso e il server di comando e controllo.