以缅甸为目标的黑客利用域名前置来隐藏恶意活动

发现了一个恶意活动，该活动利用一种称为域转发的技术，通过利用缅甸政府拥有的合法域将通信路由到攻击者控制的服务器，隐藏命令和控制流量，以逃避检测

在2021年9月观察到的威胁，部署了钴打击有效载荷作为发动进一步攻击的垫脚石，对手使用了与缅甸数字新闻网络相关的一个域，一个国有的数字报纸，作为他们的信标的前线。

“当信标启动时，它将提交对Cloudflare基础设施背后托管的合法高信誉域的DNS请求，并修改随后的HTTPs请求头，以指示CDN将流量定向到攻击者控制的主机，”Cisco Talos研究人员Chetan Raghuprasad，Vanja Svajcer，Asheer Malhotra在周二发布的技术分析中说

但随着该工具通过实际执行这些攻击来模拟攻击，该软件在恶意软件运营商手中越来越成为一种强大的武器，他们将其用作初始访问负载，使攻击者能够执行各种各样的攻击后活动，包括横向移动和部署范围广泛的恶意软件

交通信号灯

尽管威胁参与者可以通过直接从供应商网站购买Cobalt Strike工具获得Cobalt Strike，每个用户一年的许可费为3500美元，但它也可以通过地下黑客论坛在黑暗网络上购买，或者获得破解的非法软件版本”而默认的C2域被指定为www[.]mdn[.]政府嗯，信标的通信量被重定向到事实上的C2测试[。]软柠檬net通过HTTP获取和发布信标配置中指定的元数据，”研究人员说初始主机的DNS请求解析为Cloudflare拥有的IP地址，该地址允许攻击者使用域前置，并将流量发送到实际的C2主机测试[。]软柠檬net，也由Cloudflare代理。"

在Talos观察到的最新活动中，信标的执行会导致受害机器向政府拥有的主机发送初始DNS请求，而实际的命令和控制（C2）流量会被秘密重定向到攻击者控制的服务器，有效地模仿合法的流量模式，试图逃避安全解决方案的检测。

然而，研究人员表示，C2服务器不再处于活动状态，他们指出，这是一台运行Internet信息服务（IIS）的Windows服务器

“域名转发可以通过在恶意服务器和目标之间进行重定向来实现。恶意参与者可能会滥用各种内容交付网络（CDN），将服务内容重定向到由攻击者控制的C2主机服务的内容，”研究人员说。“防御者应该监控他们的网络流量，甚至监控到高声誉域名的流量，以便使用Cobalt Strike和其他攻击工具识别潜在的域名正面攻击。”