ClickCease ChamelGang exploite un implant non documenté pour les systèmes Linux

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

ChamelGang exploite un implant non documenté pour les systèmes Linux

Le 30 juin 2023 - L'équipe de relations publiques de TuxCare

Les chercheurs en cybersécurité de Stairwell ont identifié un acteur de la menace connu sous le nom de ChamelGang qui utilise un implant non divulgué auparavant pour créer des portes dérobées dans les systèmes Linux. Ce nouveau logiciel malveillant, baptisé ChamelDoH par Stairwell, utilise le langage C++ et exploite le tunnel DNS-over-HTTPS (DoH) pour une communication secrète. Il utilise des outils spécialement conçus pour les intrusions dans Linux.

Leurs techniques d'attaque consistent généralement à exploiter les vulnérabilités des serveurs Microsoft Exchange et Red Hat JBoss Enterprise Application pour obtenir un accès initial. Ensuite, ChamelDoH est déployé pour établir une porte dérobée persistante sur les systèmes compromis afin de faciliter les opérations d'accès à distance, telles que le chargement, le téléchargement et la suppression de fichiers, ainsi que l'exécution de commandes shell.

Selon Stairwell, ChamelDoH utilise des requêtes DNS cryptées pour communiquer avec un serveur de commande et de contrôle exploité par des pirates. Ce chiffrement permet au logiciel malveillant d'éviter d'être détecté et de rester longtemps sur les systèmes compromis. Il peut recueillir des informations sur le système, exécuter n'importe quelle commande, transférer des fichiers et modifier les paramètres du système.

La principale différence de ChamelDoH réside dans l'utilisation de DoH pour effectuer la résolution DNS via le protocole HTTPS. En envoyant des requêtes DNS TXT à un serveur de noms malhonnête, ChamelGang exploite efficacement la nature cryptée de cette méthode de communication. Cette technique pose un défi de taille pour les solutions de sécurité, car le blocage des fournisseurs DoH couramment utilisés, tels que Cloudflare et Google, entraverait également le trafic légitime.

Daniel Mayer, chercheur chez Stairwell, souligne l'efficacité de cette tactique en établissant un parallèle avec le command-and-control via le domain fronting. Les requêtes semblent être dirigées vers des services légitimes hébergés sur des réseaux de diffusion de contenu (CDN), ce qui rend la détection et la prévention difficiles.

Pour garantir une communication sécurisée, ChamelDoH utilise le cryptage AES128, en encodant les données au format base64, qui peut être inséré en tant que sous-domaine. En outre, l'implant possède une série de fonctionnalités, notamment l'exécution de commandes, la définition d'intervalles de sommeil, le téléchargement de fichiers, le chargement de fichiers, la suppression de fichiers, la copie de fichiers, la modification de répertoires, et bien d'autres encore.

ChamelGang aurait ciblé des organisations opérant dans les secteurs de l'énergie, de l'aviation et du gouvernement en Russie, aux États-Unis, en Inde, au Népal, à Taïwan et au Japon.

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
ChamelGang exploite un implant non documenté pour les systèmes Linux
Nom de l'article
ChamelGang exploite un implant non documenté pour les systèmes Linux
Description
Un acteur de la menace connu sous le nom de ChamelGang utilise un implant non divulgué auparavant pour créer des portes dérobées dans les systèmes Linux.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information