Cyberthreat.id - Aktor ancaman yang dikenal sebagai ChamelGang diamati menggunakan implan yang sebelumnya tidak berdokumen ke sistem Linux backdoor, menandai perluasan baru dari kemampuan aktor ancaman.

“Malware, dijuluki ChamelDoH oleh Stairwell, adalah alat berbasis C++ untuk berkomunikasi melalui tunneling DNS-over-HTTPS (DoH),” tulis The Hacker News.

Disebutkan, ChamelGang pertama kali diungkapkan oleh perusahaan keamanan siber Rusia Positive Technologies pada September 2021, merinci serangannya terhadap industri produksi bahan bakar, energi, dan penerbangan di Rusia, AS, India, Nepal, Taiwan, dan Jepang.

Rantai serangan yang dipasang oleh aktor telah memanfaatkan kerentanan di server Microsoft Exchange dan Aplikasi Red Hat JBoss Enterprise untuk mendapatkan akses awal dan melakukan serangan pencurian data menggunakan backdoor pasif yang disebut DoorMe.

"Ini adalah modul IIS asli yang terdaftar sebagai filter di mana permintaan dan respons HTTP diproses," kata Positive Technologies saat itu. "Prinsip operasinya tidak biasa: pintu belakang hanya memproses permintaan yang menetapkan parameter cookie yang benar."

Backdoor Linux yang ditemukan oleh Stairwell, pada bagiannya, dirancang untuk menangkap informasi sistem dan mampu melakukan operasi akses jarak jauh seperti pengunggahan, pengunduhan, penghapusan, dan eksekusi perintah shell.

Apa yang membuat ChamelDoH unik adalah metode komunikasi barunya menggunakan DoH, yang digunakan untuk melakukan resolusi Sistem Nama Domain (DNS) melalui protokol HTTPS, untuk mengirim permintaan DNS TXT ke server nama nakal.

"Karena penyedia DoH ini biasanya menggunakan server DNS [yaitu, Cloudflare dan Google] untuk lalu lintas yang sah, mereka tidak dapat dengan mudah diblokir di seluruh perusahaan," kata peneliti Stairwell Daniel Mayer.

Penggunaan DoH untuk perintah-dan-kontrol (C2) juga menawarkan manfaat tambahan bagi pelaku ancaman karena permintaan tidak dapat dicegat melalui serangan musuh di tengah (AitM) karena penggunaan HTTPS protokol.

Ini juga berarti bahwa solusi keamanan tidak dapat mengidentifikasi dan melarang permintaan DoH berbahaya dan memutuskan komunikasi, sehingga mengubahnya menjadi saluran terenkripsi antara host yang disusupi dan server C2.

"Hasil dari taktik ini mirip dengan C2 melalui fronting domain, di mana lalu lintas dikirim ke layanan resmi yang dihosting di CDN, tetapi dialihkan ke server C2 melalui header Host permintaan - deteksi dan pencegahan sulit dilakukan," jelas Mayer.

Perusahaan keamanan siber yang berbasis di California itu mengatakan telah mendeteksi total 10 sampel ChamelDoH di VirusTotal, salah satunya diunggah kembali pada 14 Desember 2022.

Temuan terbaru menunjukkan bahwa "grup juga telah mencurahkan banyak waktu dan upaya untuk meneliti dan mengembangkan perangkat yang sama kuatnya untuk intrusi Linux," kata Mayer.[]