Le groupe de menaces chinois « ChamelGang » infecte les appareils Linux avec un implant jusque-là inconnu nommé « ChamelDoH », permettant des communications DNS sur HTTPS avec les serveurs des attaquants.
L’acteur de menace particulier a été documenté pour la première fois en septembre 2021 par Positive Technologies ; cependant, les chercheurs se sont concentrés uniquement sur la boîte à outils Windows.
Un rapport publié hier par Stairwell et partagé avec Breachtrace décrit un nouvel implant Linux écrit en C++ qui élargit l’arsenal d’intrusion de l’acteur menaçant et, par extension, les indicateurs de compromission des attaquants.
Le lien entre ChamelGang et le nouveau malware Linux est basé sur un domaine précédemment associé à l’acteur de la menace et sur un outil d’élévation de privilèges personnalisé observé par Positive Technologies dans les campagnes ChamelGang précédentes.
DNS sur HTTPS pour la communication des logiciels malveillants
Le protocole DNS (système de noms de domaine) est utilisé par les logiciels et les systèmes d’exploitation pour résoudre les noms d’hôte lisibles par l’homme en adresses IP, qui sont ensuite utilisées pour établir des connexions réseau.
Cependant, les requêtes DNS sont envoyées sous forme de texte brut non crypté, ce qui permet aux organisations, aux FAI et à d’autres de surveiller les requêtes DNS.
Comme cela est considéré comme un risque pour la vie privée et permet aux gouvernements de censurer Internet, un nouveau protocole DNS nommé DNS-over-HTTPS a été créé pour chiffrer les requêtes DNS afin qu’elles ne puissent pas être espionnées.
Cependant, il s’agit d’une épée à double tranchant, car les logiciels malveillants peuvent l’utiliser comme un canal de communication crypté efficace, ce qui rend plus difficile pour les logiciels de sécurité de surveiller les communications réseau malveillantes.
Dans le cas de ChamelDoH, DNS-over-HTTPS fournit une communication cryptée entre un appareil infecté et le serveur de commande et de contrôle, ce qui rend les requêtes malveillantes indiscernables du trafic HTTPS normal.
De plus, DoH peut aider à contourner les serveurs DNS locaux en utilisant des serveurs compatibles DoH fournis par des organisations réputées, ce qui n’a pas été vu dans ce cas.
Enfin, comme les requêtes DNS utilisent des serveurs DoH légitimes de Google et Cloudflare, les bloquer est pratiquement impossible sans impacter le trafic légitime.
ChamelDoH utilise deux clés stockées dans sa configuration JSON, « ns_record » et « doh », pour obtenir les noms d’hôte C2 et une liste de fournisseurs de cloud DoH légitimes qui peuvent être abusés pour effectuer des requêtes DoH.
Toutes les communications des logiciels malveillants sont chiffrées à l’aide d’AES128 et d’un encodage base64 modifié qui contient des substituts aux caractères non alphanumériques. Les données transmises sont ensuite ajoutées en tant que noms d’hôte aux serveurs de commande et de contrôle des logiciels malveillants répertoriés.
Cette modification permet au logiciel malveillant d’émettre des requêtes TXT pour les domaines contenant les communications codées du serveur de commande et de contrôle (C2), masquant la nature de ces requêtes et réduisant la probabilité d’être détecté.
Par exemple, lors de l’interrogation de l’enregistrement TXT, une requête DoH du logiciel malveillant utiliserait .ns2.spezialsec[.].com. Le serveur de noms malveillant recevant la requête extrairait et déchiffrerait alors la partie encodée pour recevoir les données exfiltrées de l’appareil infecté.
Le C2 répondrait avec un enregistrement TXT codé contenant les commandes que le logiciel malveillant devrait exécuter sur l’appareil infecté.
Lors de son exécution, le logiciel malveillant recueillera des données de base sur son hôte, notamment le nom, l’adresse IP, l’architecture du processeur et la version du système, et générera un identifiant unique.
Les chercheurs de Stairwell ont découvert que ChamelDoH prend en charge les commandes suivantes que ses opérateurs peuvent émettre à distance via les enregistrements TXT reçus dans les requêtes DNS sur HTTPS :
- run – Exécute une commande de fichier/shell
- sleep – Définissez le nombre de secondes jusqu’au prochain enregistrement
- wget – Télécharger un fichier à partir d’une URL
- upload – Lire et télécharger un fichier
- download – Télécharger et écrire un fichier
- rm – Supprimer un fichier
- cp – Copier un fichier vers un nouvel emplacement
- cd – Changer le répertoire de travail
L’analyse de Stairwell a montré que ChamelDoH a été téléchargé pour la première fois sur VirusTotal en décembre 2022.
Au moment d’écrire ces lignes, il n’est signalé comme malveillant par aucun des moteurs AV de la plate-forme.