伊朗黑客组织Oilrig在攻击中利用DNS-over-HTTPS协议

更多全球网络安全资讯尽在E安全官网 www.easyaq.com  

E安全8月10日讯，近日据外媒报道，卡巴斯基研究人员发现伊朗的Oilrig黑客组织在工具库中添加了DNSExfiltrator工具，该工具是GitHub上可用的开源项目， 通过收集数据并将其隐藏在非标准协议中来创建隐蔽的通信通道。

研究人员表示，伊朗一个名为Oilrig的黑客组织已成为第一个将DNS-over-HTTPS（DoH）协议纳入其攻击武器的威胁者。

Oilrig有可能使用DoH作为渗透渠道，在受害者网络中横向移动，以便进行数据窃取或监视活动。据悉，DoH协议是当前理想的渗透渠道，首先，这是一个新协议，并非所有安全产品都能够监视；其次，DoH协议是默认加密的，这能够避免在窃取数据时被检测。

从历史研究数据上来看，该小组涉足基于DNS的渗透技术。根据Talos，NSFOCUS和Palo Alto Networks等研究团队的报告，在5月份采用开放源DNSExfiltrator工具包之前，该小组至少从2018年起就一直使用名为DNSpionage的定制工具。

Oilrig 组织之前就有DNS渗透历史，并在2018年就开始使用 名为DNSpionage的定制工具，因此，Oilrig是首批部署DoH的APT组织也不足为奇。

卡巴斯基在5月中称 Oilrig 组织通过DoH协议将窃取的数据传输到与COVID-19相关的域中。在同月，Reuters报道了由身份不明的伊朗黑客策划的鱼叉式网络钓鱼活动，该活动针对的是员工制药巨Gilead，当时 Gilead 宣布开始研究COVID-19病毒的治疗方法。但是，目前尚不清楚这些事件是否相同。

注：本文由E安全编译报道，转载请注原文地址  https://www.easyaq.com

推荐阅读：

• 微软1370万美元奖励漏洞发现者 是去年三倍 远超谷歌
  

  美国娱乐公司IndieFlix超过9万份文件泄漏
  

• Modshield SB应用防火墙现在AWS市场上可用
  

• 勒索软件团伙从LG和Xerox窃取了数十GB内部数据
  

• FBI发布警报:Netwalker勒索软件正在发起快速攻击
  

▼点击“阅读原文” 查看更多精彩内容

喜欢记得打赏小E哦！