E安全8月10日讯,近日据外媒报道,卡巴斯基研究人员发现伊朗的Oilrig黑客组织在工具库中添加了DNSExfiltrator工具,该工具是GitHub上可用的开源项目, 通过收集数据并将其隐藏在非标准协议中来创建隐蔽的通信通道。
研究人员表示,伊朗一个名为Oilrig的黑客组织已成为第一个将DNS-over-HTTPS(DoH)协议纳入其攻击武器的威胁者。
Oilrig有可能使用DoH作为渗透渠道,在受害者网络中横向移动,以便进行数据窃取或监视活动。据悉,DoH协议是当前理想的渗透渠道,首先,这是一个新协议,并非所有安全产品都能够监视;其次,DoH协议是默认加密的,这能够避免在窃取数据时被检测。
从历史研究数据上来看,该小组涉足基于DNS的渗透技术。根据Talos,NSFOCUS和Palo Alto Networks等研究团队的报告,在5月份采用开放源DNSExfiltrator工具包之前,该小组至少从2018年起就一直使用名为DNSpionage的定制工具。
Oilrig 组织之前就有DNS渗透历史,并在2018年就开始使用名为DNSpionage的定制工具,因此,Oilrig是首批部署DoH的APT组织也不足为奇。
卡巴斯基在5月中称 Oilrig 组织通过DoH协议将窃取的数据传输到与COVID-19相关的域中。在同月,Reuters报道了由身份不明的伊朗黑客策划的鱼叉式网络钓鱼活动,该活动针对的是员工制药巨Gilead,当时 Gilead 宣布开始研究COVID-19病毒的治疗方法。但是,目前尚不清楚这些事件是否相同。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。