Grupul chinez „ChamelGang” infectează dispozitivele Linux cu un implant necunoscut anterior, numit „ChamelDoH”, care permite comunicații DNS-over-HTTPS cu serverele atacatorilor.
Acest actor de amenințare special a fost documentat pentru prima dată în septembrie 2021 de către Positive Technologies; cu toate acestea, cercetătorii s-au concentrat doar pe setul de instrumente pentru Windows.
Un raport publicat pe data de 23 iunie 2023 de Stairwell descrie un nou implant pentru Linux scris în C++ care extinde arsenaul de intruziune al agresorilor și, prin extensie, indicatorii de compromitere a agresorilor.
Legătura dintre ChamelGang și noul malware pentru Linux se bazează pe un domeniu asociat anterior cu acest grup și pe un instrument personalizat de ridicare a privilegiilor observat de Positive Technologies în campaniile anterioare ale ChamelGang.
DNS-over-HTTPS pentru comunicare cu malware-ul
Protocolul DNS (Domain Name System) este utilizat de programe și de sisteme de operare pentru a transforma numele de gazdă în adrese IP, care sunt apoi folosite pentru a realiza conexiuni de rețea.
Cu toate acestea, interogările DNS sunt trimise ca text simplu, necriptat, ceea ce permite organizațiilor, furnizorilor de servicii de internet și altora să monitorizeze cererile DNS.
Deoarece acest lucru este considerat un risc pentru confidențialitate și permite guvernelor să cenzureze internetul, a fost creat un nou protocol DNS numit DNS-over-HTTPS pentru a cripta interogările DNS, astfel încât acestea să nu poată fi spionate.
Cu toate acestea, aceasta este o sabie cu două tăișuri, deoarece programele malware o pot folosi ca un canal de comunicare criptat eficient, ceea ce îngreunează monitorizarea de către programul de securitate a comunicațiilor de rețea rău intenționate.
În cazul ChamelDoH, DNS-over-HTTPS asigură o comunicare criptată între un dispozitiv infectat și serverul de comandă și control, ceea ce face ca interogările malițioase să nu poată fi deosebite de traficul HTTPS obișnuit.
În plus, DoH poate ajuta la ocolirea serverelor DNS locale prin utilizarea serverelor compatibile cu DoH furnizate de organizații de renume, ceea ce nu s-a întâmplat în acest caz.
În cele din urmă, deoarece cererile DNS utilizează servere DoH legitime de la Google și Cloudflare, blocarea lor este practic imposibilă fără a afecta traficul legitim.
CamelDoH utilizează două chei stocate în configurația sa JSON, „ns_record” și „doh”, pentru a obține numele de gazdă C2 și o listă de furnizori de cloud DoH legitimi care pot fi folosiți în mod abuziv pentru a efectua interogări DoH.
Toate comunicațiile malware-ului sunt criptate folosind AES128 și o codificare base64 modificată care conține înlocuitori pentru caracterele care nu sunt alfanumerice.
Datele transmise sunt apoi anexate ca nume de gazdă la serverele de comandă și control ale malware-urilor menționate în listă.
Această modificare permite malware-ului să emită cereri TXT pentru domeniile care conțin comunicațiile codificate ale serverului de comandă și contrl (C2), ascunzând natura acestor cereri și reducând probabilitatea de a fi detectat.
De exemplu, atunci când se interoghează înregistrarea TXT, o interogare DoH din partea unui program malware ar folosi <encoded_date>.ns2.spezialsec[.].com.
Serverul cu nume malițios care primește interogarea ar extrage și decripta apoi porțiunea codificată pentru a primi datele extrase de pe dispozitivul infectat.
C2 ar răspunde cu o înregistrare TXT codificată care conține comenzile pe care malware-ul ar trebuie să le execute pe dispozitivul infectat.
După execuție, malware-ul va colecta date de bază despre gazda sa, inclusiv numele, adresa IP, arhitectura procesorului și versiunea nucleului, și va genera un ID unic.
Cercetătorii Stairwell au descoperit că ChamelDoH acceptă următoarele comenzi pe care operatorii săi le pot emite de la distanță prin intermediul înregistrărilor TXT primite în cererile DNS-over-HTTPS:
- run – executarea unei comenzi de fișier/shell.
- sleep – setează numărul de secunde până la următorul check-in.
- wget – descarcă un fișier de la o adresă URL.
- upload – citește și încarcă un fișier.
- download – descarcă și scrie un fișier.
- rm – șterge un fișier.
- cp – copiază un fișier într-o locație nouă.
- cd – schimbă directorul de lucru.
Analiza lui Stairwell a arătat că ChamelDoH a fost încărcat pentru prima dată pe VirusTotal în decembrie 2022.
Până la momentul redactării acestui articol, nu este semnalat ca fiind malițios de niciunul dintre motoarele AV ale platformei.