聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

思科Talos 的研究人员发现攻击者正在利用合法域名使用域名前置技术隐藏命令和控制流量，攻击缅甸政府。该合法域名是缅甸政府用于路由受攻击者控制服务器通信的域名，攻击者这样做的目的是躲避检测。

研究人员在2021年9月检测到该攻击，攻击者部署 Cobalt Strike payload 作为发动更多攻击的垫脚石，利用和缅甸国有数字化报纸 Digital News 网络相关联的域名作为 Beacons 的前哨。

思科研究人员分析指出，“当启动 Beacon 时，它会向 Cloudflare 基础设施背后托管的合法且具有声誉的域名提交DNS 请求，并修改随后的 HTTPs 请求标头以指导内容交付网络 (CDN) 将流量指向受攻击者控制的主机。

Cobalt Strike 最初在2012年发布，是为了解决流行的 Metasploit 渗透测试和黑客框架中的缺点。它是一款流行的红队软件，供渗透测试人员在网络中模拟威胁行动者的活动。但由于 Cobalt Strike 通过实际发动这些攻击来模拟攻击的方式导致它称为恶意软件操纵者手中的可怕武器，恶意人员将其作为初始访问权限 payload 执行多种利用后活动，包括横向移动和部署各种恶意软件。尽管威胁行动者可以直接花3500美元从厂商网站购买 Cobalt Strike，获得一年的许可证，但也可通过黑客论坛在黑市购买，或者染指破解版的非法版本。

研究人员发现在最近的攻击活动中，执行 Beacon 导致机器向政府所拥有的主机发送初始 DNS 请求，而真正的命令和控制流量被秘密重定向至受攻击者控制的服务器，从而有效地模拟合法流量模式，试图逃避安全解决方案的检测。

研究人员指出，“虽然默认的C2域名时 www[.]mdn[.]gov[.]mm，该 Beacon 的流量被通过该 Beacon 配置中制定的HTTP Get 和 POST 元数据重定向至实际的 C2 test[.]softlemon[.]net中。初始主机的DNS 请求解析到 Cloudflare 拥有的IP 地址，可导致攻击者利用域名前置技术并将流量发送给由 Cloudflare 代理的真正主机 test[.]softlemon[.]net。“然而该C2服务器已不再活跃，它是运行互联网信息服务 (IIS) 的 Windows 服务器。

研究人员表示，“域名前置可通过恶意服务器和目标之间的重定向实现。恶意人员可滥用多种内容交付网络设置向由攻击者控制的C2主机提供的内容的重定向。即使是对于颇具声誉的域名，防御人员也应当监控其网络流量，以便识别出通过 Cobalt Strike 和其它攻击工具执行的潜在域名前置攻击。“

推荐阅读

强大的间谍软件 FinSpy 被指攻击缅甸 iOS 和安卓用户

俄罗斯国家黑客组织 Gamaredon的成员身份和录音曝光（附视频）

俄罗斯国家黑客TA505被指攻击金融机构

APT29网络间谍利用域前置躲避检测

原文链接

https://thehackernews.com/2021/11/hackers-targeting-myanmar-use-domain.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~