ClickCease ChamelGang explota un implante indocumentado para sistemas Linux

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

ChamelGang explota un implante indocumentado para sistemas Linux

30 de junio de 2023 - Equipo de RRPP de TuxCare

Los investigadores de ciberseguridad de Stairwell han identificado a un actor de amenazas conocido como ChamelGang que emplea un implante no revelado previamente para establecer puertas traseras en sistemas Linux. Este nuevo malware, denominado ChamelDoH por Stairwell, utiliza C++ y aprovecha la tunelización DNS-sobre-HTTPS (DoH) para la comunicación encubierta. herramientas específicamente diseñadas para intrusiones en Linux.

Sus técnicas de ataque suelen consistir en explotar vulnerabilidades en servidores Microsoft Exchange y Red Hat JBoss Enterprise Application para obtener el acceso inicial. Posteriormente, ChamelDoH se despliega para establecer una puerta trasera persistente en los sistemas comprometidos para permitir la facilitación de las operaciones de acceso remoto, tales como carga de archivos, descarga, eliminación y ejecución de comandos shell.

Según Stairwell, ChamelDoH utiliza consultas DNS cifradas para comunicarse con un servidor de mando y control operado por hackers. Este cifrado ayuda al malware a evitar la detección y permanecer en los sistemas comprometidos durante mucho tiempo, pudiendo recopilar información del sistema, ejecutar cualquier comando, transferir archivos y realizar cambios en la configuración del sistema.

El diferenciador clave de ChamelDoH radica en su uso de DoH para realizar la resolución DNS a través del protocolo HTTPS. Al enviar solicitudes DNS TXT a un servidor de nombres fraudulento, ChamelGang aprovecha la naturaleza cifrada de este método de comunicación. Esta técnica plantea un reto importante para las soluciones de seguridad, ya que el bloqueo de los proveedores de DoH más utilizados, como Cloudflare y Google, también impediría el tráfico legítimo.

Daniel Mayer, investigador de Stairwell, subraya la eficacia de esta táctica, estableciendo un paralelismo con el comando y control mediante domain fronting. Las solicitudes parecen dirigirse a servicios legítimos alojados en redes de distribución de contenidos (CDN), lo que dificulta su detección y prevención.

Para garantizar una comunicación segura, ChamelDoH emplea el cifrado AES128, codificando los datos en formato base64, que puede insertarse como subdominio. Además, el implante posee una serie de funcionalidades, como la ejecución de comandos, el establecimiento de intervalos de suspensión, la descarga de archivos, la carga de archivos, la eliminación de archivos, la copia de archivos, el cambio de directorios, etc.

Al parecer, ChamelGang ha tenido como objetivo organizaciones que operan en los sectores de la energía, la aviación y la administración pública en Rusia, Estados Unidos, India, Nepal, Taiwán y Japón.

Las fuentes de este artículo incluyen un artículo en TheHackerNews.

Resumen
ChamelGang explota un implante indocumentado para sistemas Linux
Nombre del artículo
ChamelGang explota un implante indocumentado para sistemas Linux
Descripción
Un actor de amenazas conocido como ChamelGang emplea un implante no revelado previamente para establecer puertas traseras en sistemas Linux.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín