Recientemente se ha identificado una nueva amenaza proveniente del actor de amenazas conocido como ChamelGang, que ha desarrollado un implante no documentado previamente en sistemas Linux de puerta trasera. Esta nueva capacidad marca un hito en las tácticas de este grupo de ciberdelincuentes.
-ChamelDoH: El nuevo malware de puerta trasera basado en C++
El malware, llamado ChamelDoH por Stairwell, es una herramienta basada en C++ que utiliza túneles DNS sobre HTTPS (DoH) para comunicarse de manera encriptada.
Este método de comunicación innovador permite a ChamelGang evadir fácilmente las soluciones de seguridad y realizar operaciones de acceso remoto.
-Expansión geográfica y cadenas de ataque
ChamelGang fue descubierto por primera vez por Positive Technologies, una firma rusa de ciberseguridad, en septiembre de 2021.
Este grupo ha llevado a cabo ataques dirigidos a industrias clave, como producción de combustible, energía y aviación, en Rusia, EE. UU., India, Nepal, Taiwán y Japón.
-Características del malware y su funcionamiento
La puerta trasera de Linux descubierta por Stairwell tiene la capacidad de capturar información del sistema y realizar diversas operaciones remotas, como carga, descarga, eliminación de archivos y ejecución de comandos de shell.
Sin embargo, lo que hace a ChamelDoH único es su uso del protocolo DoH para comunicarse de manera encubierta, enviando solicitudes DNS TXT a servidores de nombres no autorizados.
-Beneficios y dificultades del uso de DoH
El uso de DoH como método de comando y control (C2) presenta ventajas para el actor de amenazas, ya que las solicitudes no pueden ser interceptadas fácilmente debido al cifrado proporcionado por el protocolo HTTPS. Esto dificulta la detección y prevención de las solicitudes maliciosas, ya que se convierten en un canal encriptado entre el host comprometido y el servidor C2.
La firma de ciberseguridad Stairwell informó sobre el descubrimiento de 10 muestras de ChamelDoH en VirusTotal, una de las cuales se cargó el 14 de diciembre de 2022.
Estos hallazgos revelan que ChamelGang ha invertido tiempo y esfuerzo en investigar y desarrollar un conjunto de herramientas igualmente robustas para las intrusiones en sistemas Linux.