انتشار Backdoor جدید لینوکسی‌ به‌ نام ChamelDoH

محققان امنیتی‌ اخیراً فعالیت‌های‌ گروه هکری‌ ChamelGang را رصد کرده و متوجه‌ این‌ موضوع شده اند که‌ این‌ گروه، از یک‌ Implant جدید برای‌ توزیع‌ Backdoor بر روی‌ سیستم‌های‌ لینوکسی‌ استفاده کرده است‌ که‌ این‌ موضوع، نمایانگر گسترش توانایی‌های‌ گروه مزبور می‌باشد . این‌ بدافزار که‌ ChamelDoH نامیده شده است‌، یک‌ ابزار مبتنی‌ بر زبان برنامه‌نویسی‌ ++C است‌ که‌ برای‌ برقراری‌ ارتباط از طریق DoH Tunneling مورد بهره برداری‌ قرار می‌گیرد. فعالیت‌های‌ گروه ChamelGang برای‌ نخستین‌ بار در ماه سپتامبر سال ٢٠٢١ میلادی‌ کشف‌ شد که‌ طی‌ آن، گروه هکری‌ مزبور حملاتی‌ را علیه‌ صنایع‌ سوخت‌، انرژی‌ و .... در کشورهایی‌ نظیر آمریکا، روسیه‌، هند و ... انجام داده بود. در این‌ حملات، از آسیب‌پذیری‌های‌ موجود در سرورهای‌ Exchange و نیز نرمافزار RedHat JBoss Enterprise به‌ منظور اخذ دسترسی‌ اولیه‌ و انجام حملات سرقت‌ اطلاعات با استفاده از یک‌ Passive Backdoor به‌ نام DoorMe، استفاده شده بود.

 به‌ گفته‌ محققان، این‌ Backdoor در واقع‌ یک‌ ماژول IIS را تحت‌ تأثیر قرار می‌دهد که‌ به‌ عنوان یک‌ فیلتر که‌ از طریق‌ آن HTTP Request و Responseها پردازش می‌شوند، مورد بهره برداری‌ قرار می‌گیرد؛ این‌ Backdoorصرفاً Requestهایی‌ را پردازش می‌کند که‌ در آن ها، مقدار پارامتر Cookie به‌ درستی‌ تنظیم‌ شده باشد. این‌ Backdoor با هدف ضبط‌ و ذخیره اطلاعات  سیستم‌ طراحی‌ شده و قابلیت‌ انجام عملیات های‌ مختلف‌ با داشتن‌ دسترسی‌ از راه دور (مانند دانلود، آپلود، حذف، اجرای‌ دستورات Shell و ...) را دارا می‌باشد. چیزی‌ که‌ ChamelDoH را منحصر به‌ فرد می‌سازد، روش ارتباطی‌ نوین‌ آن در استفاده از DoH می‌باشد که‌ از آن به‌ منظور انجام DNS Resolution از طریق‌ پروتکل‌ HTTPS برای‌ ارسال DNS TXT Request ها به‌ یک‌ NameServer استفاده می‌شود.

 استفاده از DoH برای‌ فرماندهی‌ و کنترل، مزایای‌ دیگری‌ را برای‌ تیم‌ هکری‌ در پی‌ دارد که‌ از جمله‌ آن می‌توان به‌ این‌ مورد اشاره داشت‌ که‌ با توجه‌ به‌ استفاده از پروتکل‌ HTTPS، امکان خواندن درخواست‌ها به‌ واسطه‌ حملات AiTM وجود ندارد. همچنین‌ این‌ بدین‌ معناست‌ که‌ ساز و کارهای‌ امنیتی‌، قادر به‌ تشخیص‌ و جلوگیری‌ از DoH Requestهای‌ مخرب و نیز محدودسازی‌ ارتباطات نخواهند بود که‌ در نتیجه‌، آن را به‌ یک‌ کانال رمزنگاری‌ شده بین‌ هاست‌ هدف و سرور ٢C تبدیل‌ می‌کند. نتیجه‌ این‌ تاکتیک‌، مشابه‌ با ٢C از طریق‌ Domain Fronting است‌ که‌ در آن، ترافیک‌ به‌ یک‌ سرویس‌ قانونی‌ که‌ بر روی‌ یک‌ CDN میزبانی‌ می‌شود ارسال می‌شود ولی‌ در نهایت‌ به‌ واسطه‌ Host Header یک‌ درخواست‌، به‌ یک‌ سرور ٢C ارسال می‌شود که‌ در این‌ حالت‌، کشف‌ و پیشگیری‌، امری‌ دشوار خواهد بود. تیم‌ امنیتی‌ اعلام کرده است‌ که‌ تاکنون ١٠ نمونه‌ از ChamelDoH را کشف‌ کرده است‌.