神秘黑客通过 DNS 重定向攻击中东实体

编译：360代码卫士团队

思科 Talos 安全研究人员指出，此前未曾谋面的威胁者正在利用新的恶意软件和 NDS 重定向攻击中东地区的实体。

Talos 将其中的一次攻击活动称为“DNSpionage”，它使用虚假的恶意求职网站试图通过恶意微软 Office 文档攻陷目标。这些攻击中使用的恶意软件支持 HTTP 和 DNS 通信。

另外一起 DNS 重定向活动针对的是黎巴嫩和阿联酋的 .gov 域名以及黎巴嫩的一家私营航空公司。为使不被发现，黑客耗费很多时间了解受害者的网络基础设施。他们将谨慎生成的 Let’s Encrypt 证书当做被重定向的域名。

虚假职位列表网站上的恶意微软 Office 文档是从加拿大可持续能源公司 Suncor Energy 网站上复制的一份合法文件。攻击者可能将鱼叉式钓鱼邮件发送给目标，进而传播恶意文档连接。

当文档被打开时，宏会解码一个 PE 文件并将其是范围“svshost_serv.doc”，但当文档被关闭后，它会将文件名称重命名为“svshost_serv.exe”。宏还会创建一个调度任务执行该二进制。

最终的 payload 是一个远程管理工具，支持 DNS 信道作为隐秘的通信信道。从攻击者服务器中下载的其它脚本和工具被存储在已给 Downloads 文件夹中，而遭渗透的文件被存储在 Uploads 目录中。

在10月至11月期间，黎巴嫩和阿联酋的受害者再次遭受攻击。研究人员发现多个属于这些国家公共部门的命名服务器以及黎巴嫩的一些公司遭攻陷。

一起恶意 DNS 重定向的受害者包括黎巴嫩财政部的邮件域名、警署及通信法规局。Let’s Encrypt 证书签发的日期和攻击发生的日期一致。

另外，攻击者还针对黎巴嫩航空中东航线 (MEA) 发动 DNS 重定向攻击。攻击中所使用的 Let’s Encrypt 证书是在攻击发生一周前创建的，而且在主题行中包含多个名称，从而允许将多个域名添加至 SSL 活动所需的证书中。

Talos 团队表示，“这些域名显示了对受害者域名有着清晰的了解，使我们认为攻击者活跃于这些环境以理解所需要生成的具体域名和证书。”

DNSpionage 恶意软件的目标并未得到明确，但他们是位于黎巴嫩和阿联酋的用户。研究人员无法判断这些 DNS 重定向攻击是否成功，但攻击者仍然在继续发动攻击。

Talos 表示，“我们认为这些攻击活动都源自同一伙攻击者。然而，我们尚不知晓他们所处的地理位置以及精确的动机。显然攻击者能够在2个月的时间内从两个不同国家政府域名以及一家黎巴嫩国有航空公司域名重定向 DNS。”

原文链接

https://www.securityweek.com/threat-actor-targets-middle-east-dns-redirections

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士 www.codesafe.cn”。