Иранская APT Oilrig первой начала использовать DNS-over-HTTPS в ходе атак
05/08/20
Иранская киберпреступная группировка Oilrig (также известная как APT34) стала первой APT, использовавшей в ходе атак протокол DNS-over-HTTPS (DoH) для скрытого хищения данных из взломанных сетей.
Как сообщил на вебинаре аналитик «Лаборатории Касперского» Висенте Диас (Vicente Diaz), изменение произошло в мае нынешнего года, когда Oilrig добавила новый инструмент в свой хакерский арсенал. По словам Диаса, участники Oilrig начали использовать новую утилиту DNSExfiltrator в рамках своих кибератак.
DNSExfiltrator представляет собой проект с открытым исходным кодом, доступный на GitHub, с помощью которого можно создавать скрытые каналы связи, направляя данные и скрывая их в нестандартных протоколах. Инструмент может передавать данные между двумя точками, используя классические DNS-запросы, но он также может использовать новый протокол DoH.
По словам Диаса, Oilrig использует DNSExfiltrator для перемещения данных по внутренним сетям, а затем их извлечения. Преступники предположительно используют DoH в качестве канала утечки с целью избежать обнаружения или мониторинга деятельности при перемещении украденных данных.