Участники Oilrig добавили в свой хакерский арсенал новую утилиту DNSExfiltrator.
https://www.securitylab.ru/upload/ib...c494c2d494.jpg
Иранская киберпреступная группировка Oilrig (также известная как APT34) стала первой APT, https://www.brighttalk.com/webcast/1...nds-in-q2-2020в ходе атак протокол DNS-over-HTTPS (DoH) для скрытого хищения данных из взломанных сетей.
Как сообщил на вебинаре аналитик «Лаборатории Касперского» Висенте Диас (Vicente Diaz), изменение произошло в мае нынешнего года, когда Oilrig добавила новый инструмент в свой хакерский арсенал. По словам Диаса, участники Oilrig начали использовать новую утилиту DNSExfiltrator в рамках своих кибератак.
DNSExfiltrator представляет собой проект с открытым исходным кодом, доступный на GitHub, с помощью которого можно создавать скрытые каналы связи, направляя данные и скрывая их в нестандартных протоколах. Инструмент может передавать данные между двумя точками, используя классические DNS-запросы, но он также может использовать новый протокол DoH.
По словам Диаса, Oilrig использует DNSExfiltrator для перемещения данных по внутренним сетям, а затем их извлечения. Преступники предположительно используют DoH в качестве канала утечки с целью избежать обнаружения или мониторинга деятельности при перемещении украденных данных.