Descubiertos por primera vez en noviembre del año pasado, los ataques de pionero de DNS usaron sitios comprometidos y documentos maliciosos diseñados para infectar las computadoras de las víctimas con el pionaje de DNS , una herramienta administrativa remota personalizada que utiliza la comunicación de HTTP y DNS para comunicarse con el servidor de control y comando controlado por el atacante.

Según un nuevo informe publicado por el equipo de investigación de amenazas Talos de Cisco, el grupo ha adoptado algunas nuevas tácticas, técnicas y procedimientos para mejorar la eficacia de sus operaciones, haciendo que sus ataques cibernéticos sean más específicos, organizados y sofisticados.

A diferencia de las campañas anteriores, los atacantes ahora han comenzado a realizar reconocimientos en sus víctimas antes de infectarlos con una nueva pieza de malware, llamada Karkoff , lo que les permite elegir de forma selectiva qué objetivos infectar para no ser detectados.

«Identificamos las superposiciones de infraestructura en los casos DNSpionage y Karkoff», dicen los investigadores.

Durante la fase de reconocimiento, los atacantes recopilan información del sistema relacionada con el entorno de la estación de trabajo, el sistema operativo, el dominio y la lista de procesos en ejecución en la máquina de las víctimas.

«El malware busca dos plataformas antivirus específicas: Avira y Avast. Si uno de estos productos de seguridad está instalado en el sistema e identificado durante la fase de reconocimiento, se establecerá una marca específica, y algunas opciones del archivo de configuración serán ignorado «, dicen los investigadores.

Desarrollado en .NET, Karkoff permite a los atacantes ejecutar código arbitrario en hosts comprometidos de forma remota desde su servidor de C&C. Cisco Talos identificó a Karkoff como malware indocumentado a principios de este mes.

Lo que es interesante es que el malware Karkoff genera un archivo de registro en los sistemas de las víctimas que contiene una lista de todos los comandos que ha ejecutado con una marca de tiempo.

«Este archivo de registro se puede usar fácilmente para crear una línea de tiempo de la ejecución del comando que puede ser extremadamente útil cuando se responde a este tipo de amenaza», explican los investigadores.

«Con esto en mente, una organización comprometida con este malware tendría la oportunidad de revisar el archivo de registro e identificar los comandos ejecutados en su contra».

Al igual que la última campaña de pioneros del DNS, los ataques recientemente descubiertos también apuntan a la región del Medio Oriente, incluido el Líbano y los Emiratos Árabes Unidos (EAU).

Además de deshabilitar macros y usar software antivirus confiable, lo más importante es mantenerse alerta y mantenerse informado sobre las técnicas de ingeniería social para reducir el riesgo de ser víctima de tales ataques.

Debido a varios informes públicos de ataques de secuestro de DNS , el Departamento de Seguridad Nacional (DHS) de EE. UU. A principios de este año emitió una » directiva de emergencia » a todas las agencias federales que ordenan al personal de TI que audite los registros de DNS para sus respectivos dominios de sitios web u otros administrados por agencias. dominios.

Fuente: thehackernews.com

Compartir