技術支援
文件
登錄
聯繫我們
ChamelGang利用未記錄的Linux系統植入物
奧班拉·奧佩耶米
實施期間: 2023年6月30 日 - TuxCare專家團隊
Stairwell的網路安全研究人員已經確定了一個名為ChamelGang的威脅行為者,該行為者使用以前未公開的植入物在Linux系統中建立後門。這種新的惡意軟體被Stairwell命名為ChamelDoH,利用C++並利用DNS-over-HTTPS(DoH)隧道進行隱蔽通信。專為Linux入侵而設計的工具。
他們的攻擊技術通常涉及利用Microsoft Exchange伺服器和Red Hat JBoss Enterprise Application中的漏洞來獲得初始訪問許可權。隨後,部署ChamelDoH以在受感染的系統上建立持久的後門,以促進遠端訪問操作,例如檔上傳,下載,刪除和shell命令執行。
根據Stairwell的說法,ChamelDoH使用加密的DNS查詢與駭客操作的命令和控制伺服器進行通信。這種加密有助於惡意軟體避免檢測並長時間停留在受感染的系統上,並且可以收集系統資訊、運行任何命令、傳輸檔以及更改系統設置。
ChamelDoH的關鍵區別在於它使用DoH通過HTTPS協議執行DNS解析。通過向流氓名稱伺服器發送 DNS TXT 請求,ChamelGang 有效地利用了這種通信方法的加密性質。這種技術對安全解決方案提出了重大挑戰,因為阻止常用的DoH供應商(如Cloudflare和Google)也會阻礙合法流量。
Stairwell的研究員丹尼爾·邁耶爾(Daniel Mayer)強調了這種策略的有效性,並通過領域前沿與命令和控制相提並論。這些請求似乎被定向到託管在內容交付網路(CDN)上的合法服務,這使得檢測和預防變得困難。
為了確保安全通信,ChamelDoH採用AES128加密,以base64格式對數據進行編碼,可以作為子域插入。此外,植入物還具有一系列功能,包括執行命令、設置睡眠間隔、下載檔、上傳檔、刪除檔、複製檔、更改目錄等。
據報導,ChamelGang一直針對俄羅斯,美國,印度,尼泊爾,臺灣和日本的能源,航空和政府部門的組織。
這篇文章的來源包括 TheHackerNews上的一篇文章。
