Китайские хакеры Chameldgang используют DNS-over-HTTPS для обмена вредоносным трафиком

Китайская группа угроз «Chameldgang» активно заражает Linux-устройства ранее неизвестным вредоносным программным обеспечением под названием «ChamelDoH», позволяющим осуществлять связь с серверами злоумышленников по протоколу DNS-over-HTTPS.

Chameldgang был впервые задокументирован ещё в сентябре 2021 года компанией Positive Technologies; однако тогда исследователи имели дело с экземпляром вредоносного ПО для Windows.

В отчёте, опубликованном вчера компанией Stairwell, описывается новый экземпляр вредоноса, написанный на C++ и нацеленный на Linux-системы. Появление данной версии вредоноса ощутимо расширяет арсенал злоумышленников и увеличивает целевую аудиторию для потенциальных атак.

Связь между ChamelGang и новой вредоносной программой для Linux основана на домене, ранее связанном с группой злоумышленников, а также пользовательском инструменте повышения привилегий, который специалисты Positive Technologies наблюдали в прошлой кампании ChamelGang.

Занимательно, что ChamelDoH использует протокол DNS-over-HTTPS (DoH) для обеспечения зашифрованной связи между зараженным устройством и C2-сервером злоумышленников, делая вредоносные запросы неотличимыми от обычного HTTPS-трафика.

Кроме того, поскольку DNS-запросы используют законные DoH-серверы Google и Cloudflare, заблокировать их практически невозможно без ущерба для легитимного трафика.

Также все сообщения между вредоносом и сервером зашифрованы с использованием AES-128 и модифицированной кодировки base64. Эта модификация позволяет вредоносному ПО отправлять любые текстовые запросы, скрывая их природу и снижая вероятность обнаружения.

После активации вредоносная программа собирает основные данные о заражённом хосте, включая имя устройства, IP-адрес, архитектуру процессора и версию системы, а затем присваивает данному хосту уникальный идентификатор.

Исследователи Stairwell обнаружили, что ChamelDoH поддерживает следующие команды, которые его операторы могут выполнять удалённо через запросы DNS-over-HTTPS:

• rub — выполнить команду file / shell;
• sleep — устанавить количество секунд до следующей регистрации;
• wget — загрузить файла с определённого URL-адреса;
• upload — считать и выгрузить файл;
• download — загрузить и записать файл;
• rm — удалить файл;
• cp — скопировать файл в новое местоположение;
• cd — изменить рабочий каталог.

Анализ Stairwell показал, что ChamelDoH был впервые загружен в VirusTotal в декабре 2022 года. Примечательно, что на момент публикации отчёта, спустя полгода после первой загрузки на платформу, вредонос до сих пор не помечается как вредоносный ни одним из антивирусных движков сервиса.

Разумеется, в своём отчёте исследователи предоставили индикаторы компрометации (IoC) для обнаружения вредоноса, и уже в скором времени антивирусные движки начнут на него реагировать.