伊朗黑客在最近的攻击中发现使用新的DNS劫持恶意软件

Zscaler ThreatLabz研究人员Niraj Shivtarkar和Avinash Kumar在上周发布的一份报告中表示：“新的恶意软件是基于.NET的DNS后门，是开源工具‘DIG.NET’的定制版本。”。

“该恶意软件利用了一种称为“DNS劫持”的DNSweb安全攻击技术，在这种技术中，攻击者控制的DNS服务器操纵DNS查询的响应，并根据其恶意要求进行解析。”

DNS劫持是一种重定向攻击，在这种攻击中，对真实网站的DNS查询被截获，从而将毫无戒心的用户带到对手控制下的欺诈页面。与缓存中毒不同，DNS劫持的目标是名称服务器上网站的DNS记录，而不是解析程序的缓存。

Lyceum也被称为Hexane、Spirlin或暹罗猫，主要因其在中东和非洲的网络攻击而闻名。今年早些时候，斯洛伐克网络安全公司ESET将其活动与另一个名为OilRig（又名APT34）的威胁行为体挂钩。

The latest infection chain involves the use of a macro-laced Microsoft Document downloaded from a domain named "news-spot[.]live," impersonating a legitimate news report from Radio Free Europe/Radio Liberty about Iran's drone strikes in December 2021.

启用宏会导致执行一段恶意代码，该代码将植入到Windows启动文件夹中，以建立持久性并确保每次系统重新启动时自动运行。

这个NET DNS后门，被称为DnsSystem，是开源DIG的一个修改版本。net DNS解析器工具，使Lyceum参与者能够解析DNS服务器发出的DNS响应（“cyberclub[.]实现其邪恶目标。

研究人员说：“APT威胁行为人正在不断发展他们的战术和恶意软件，以成功地对他们的目标进行攻击。”。“攻击者不断采用新的反分析技巧来逃避安全解决方案；恶意软件的重新打包使静态分析更具挑战性。”