O grupo de hackers iraniano Lycaeum APT usa um novo backdoor DNS baseado em .NET para realizar ataques a empresas nos setores de energia e telecomunicações.

Lyceum é um APT apoiado pelo estado, que anteriormente tinha como alvo provedores de serviços de comunicação no Oriente Médio usando backdoors de encapsulamento de DNS.

Uma análise recente da Zscaler apresenta um novo backdoor de DNS baseado na ferramenta de código aberto DIGnet para realizar ataques de “sequestro de DNS”, executar comandos, descartar mais cargas úteis e exfiltrar dados.

O sequestro de DNS é um ataque de redirecionamento que se baseia na manipulação de consultas de DNS para levar um usuário que tenta visitar um site legítimo a um clone malicioso hospedado em um servidor sob o controle do agente da ameaça.

Qualquer informação inserida no site malicioso, como credenciais de conta, será compartilhada diretamente com o agente da ameaça. Além de realizar ataques de sequestro de DNS, o backdoor também pode receber comandos do servidor de comando e controle para executar na máquina comprometida.