Иранская APT Oilrig первой использовала DNS-over-HTTPS в ходе атак

Иранская APT Oilrig первой использовала DNS-over-HTTPS в ходе атак

Участники Oilrig добавили в свой хакерский арсенал новую утилиту DNSExfiltrator.

Иранская киберпреступная группировка Oilrig (также известная как APT34) стала первой APT, использовавшей в ходе атак протокол DNS-over-HTTPS (DoH) для скрытого хищения данных из взломанных сетей.

Как сообщил на вебинаре аналитик «Лаборатории Касперского» Висенте Диас (Vicente Diaz), изменение произошло в мае нынешнего года, когда Oilrig добавила новый инструмент в свой хакерский арсенал. По словам Диаса, участники Oilrig начали использовать новую утилиту DNSExfiltrator в рамках своих кибератак.

DNSExfiltrator представляет собой проект с открытым исходным кодом, доступный на GitHub, с помощью которого можно создавать скрытые каналы связи, направляя данные и скрывая их в нестандартных протоколах. Инструмент может передавать данные между двумя точками, используя классические DNS-запросы, но он также может использовать новый протокол DoH.

По словам Диаса, Oilrig использует DNSExfiltrator для перемещения данных по внутренним сетям, а затем их извлечения. Преступники предположительно используют DoH в качестве канала утечки с целью избежать обнаружения или мониторинга деятельности при перемещении украденных данных.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!