ChamelGang nutzt ein undokumentiertes Implantat für Linux-Systeme aus
Cybersecurity-Forscher von Stairwell haben einen als ChamelGang bekannten Bedrohungsakteur identifiziert, der ein bisher unbekanntes Implantat verwendet, um Hintertüren in Linux-Systeme einzubauen. Diese neue Malware, die von Stairwell ChamelDoH genannt wird, verwendet C++ und nutzt DNS-over-HTTPS (DoH) Tunneling für die verdeckte Kommunikation.
Bei ihren Angriffstechniken werden in der Regel Schwachstellen in Microsoft Exchange-Servern und Red Hat JBoss Enterprise Application ausgenutzt, um sich zunächst Zugang zu verschaffen. Anschließend wird ChamelDoH eingesetzt, um auf den kompromittierten Systemen eine dauerhafte Hintertür einzurichten, die Fernzugriffsoperationen wie das Hochladen, Herunterladen und Löschen von Dateien sowie die Ausführung von Shell-Befehlen ermöglicht.
Laut Stairwell verwendet ChamelDoH verschlüsselte DNS-Anfragen zur Kommunikation mit einem von Hackern betriebenen Command-and-Control-Server. Durch diese Verschlüsselung kann die Malware der Entdeckung entgehen und lange Zeit auf kompromittierten Systemen bleiben. Sie kann Systeminformationen sammeln, beliebige Befehle ausführen, Dateien übertragen und Änderungen an den Systemeinstellungen vornehmen.
Das Hauptunterscheidungsmerkmal von ChamelDoH liegt in der Verwendung von DoH zur Durchführung von DNS-Auflösungen über das HTTPS-Protokoll. Durch das Senden von DNS-TXT-Anfragen an einen betrügerischen Nameserver nutzt ChamelGang die verschlüsselte Natur dieser Kommunikationsmethode effektiv aus. Diese Technik stellt eine große Herausforderung für Sicherheitslösungen dar, da die Sperrung häufig verwendeter DoH-Anbieter wie Cloudflare und Google auch den legitimen Datenverkehr behindern würde.
Daniel Mayer, Forscher bei Stairwell, unterstreicht die Wirksamkeit dieser Taktik und zieht eine Parallele zu Command-and-Control über Domain Fronting. Die Anfragen scheinen an legitime Dienste gerichtet zu sein, die in Content Delivery Networks (CDNs) gehostet werden, was die Erkennung und Verhinderung erschwert.
Um eine sichere Kommunikation zu gewährleisten, verwendet ChamelDoH die AES128-Verschlüsselung und kodiert die Daten im base64-Format, das als Subdomain eingefügt werden kann. Darüber hinaus verfügt das Implantat über eine Reihe von Funktionen, darunter das Ausführen von Befehlen, das Einstellen von Schlafintervallen, das Herunterladen von Dateien, das Hochladen von Dateien, das Löschen von Dateien, das Kopieren von Dateien, das Ändern von Verzeichnissen und mehr.
Die ChamelGang hat es Berichten zufolge auf Unternehmen in den Bereichen Energie, Luftfahrt und Regierung in Russland, den Vereinigten Staaten, Indien, Nepal, Taiwan und Japan abgesehen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.