Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
ChamelGang explota un implante indocumentado para sistemas Linux
Obanla Opeyemi
30 de junio de 2023 - Equipo de expertos TuxCare
Los investigadores de ciberseguridad de Stairwell han identificado a un actor de amenazas conocido como ChamelGang que emplea un implante no revelado previamente para establecer puertas traseras en sistemas Linux. Este nuevo malware, denominado ChamelDoH por Stairwell, utiliza C++ y aprovecha la tunelización DNS-sobre-HTTPS (DoH) para la comunicación encubierta. herramientas específicamente diseñadas para intrusiones en Linux.
Sus técnicas de ataque suelen consistir en explotar vulnerabilidades en servidores Microsoft Exchange y Red Hat JBoss Enterprise Application para obtener el acceso inicial. Posteriormente, ChamelDoH se despliega para establecer una puerta trasera persistente en los sistemas comprometidos para permitir la facilitación de las operaciones de acceso remoto, tales como carga de archivos, descarga, eliminación y ejecución de comandos shell.
Según Stairwell, ChamelDoH utiliza consultas DNS cifradas para comunicarse con un servidor de mando y control operado por hackers. Este cifrado ayuda al malware a evitar la detección y permanecer en los sistemas comprometidos durante mucho tiempo, pudiendo recopilar información del sistema, ejecutar cualquier comando, transferir archivos y realizar cambios en la configuración del sistema.
El diferenciador clave de ChamelDoH radica en su uso de DoH para realizar la resolución DNS a través del protocolo HTTPS. Al enviar solicitudes DNS TXT a un servidor de nombres fraudulento, ChamelGang aprovecha la naturaleza cifrada de este método de comunicación. Esta técnica plantea un reto importante para las soluciones de seguridad, ya que el bloqueo de los proveedores de DoH más utilizados, como Cloudflare y Google, también impediría el tráfico legítimo.
Daniel Mayer, investigador de Stairwell, subraya la eficacia de esta táctica, estableciendo un paralelismo con el comando y control mediante domain fronting. Las solicitudes parecen dirigirse a servicios legítimos alojados en redes de distribución de contenidos (CDN), lo que dificulta su detección y prevención.
Para garantizar una comunicación segura, ChamelDoH emplea el cifrado AES128, codificando los datos en formato base64, que puede insertarse como subdominio. Además, el implante posee una serie de funcionalidades, como la ejecución de comandos, el establecimiento de intervalos de suspensión, la descarga de archivos, la carga de archivos, la eliminación de archivos, la copia de archivos, el cambio de directorios, etc.
Al parecer, ChamelGang ha tenido como objetivo organizaciones que operan en los sectores de la energía, la aviación y la administración pública en Rusia, Estados Unidos, India, Nepal, Taiwán y Japón.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
