Intravedere

Glimpse è uno strumento di hacking recentemente scoperto che si ritiene sia la creazione del gruppo OilRig. Questo gruppo di hacking è anche noto come APT34 (Advanced Persistent Threat) e proviene dall'Iran. I ricercatori di malware conoscono da tempo il gruppo di hacker OilRig e sono noti per essere altamente qualificati e molto minacciosi. Il malware Glimpse è costruito in modo molto interessante. La minaccia Glimpse utilizza il protocollo DNS invece di utilizzare le solite e piuttosto rumorose connessioni FTP o HTTP. Tuttavia, nonostante ciò riduca significativamente il rumore dell'operazione dannosa, ha anche alcuni lati negativi significativi. L'uso del protocollo DNS ostacola notevolmente le capacità della minaccia Glimpse. Il motivo alla base di questo è che questo metodo supporta solo determinati caratteri e ha una quantità limitata di dati che possono essere trasferiti, quindi handicappando il malware.

I quattro tipi di record principali

Esistono quattro record principali, che sono supportati dal protocollo DNS:

• Record CNAME (Nome canonico): collegano un determinato nome host al dominio o al sottodominio.
• Record TXT : servono per archiviare testo diverso, generalmente collegato a informazioni sul dominio come indirizzo, nome, contatto, ecc. O ai dati relativi alla verifica (come i dati del Framework criteri mittente).
• A Records : il tipo di record di base, che serve per connettere un indirizzo IP specifico a un dominio o sottodominio.
• Record MX (Mail Exchange) : hanno lo stesso scopo di A Records ma possiedono una funzione 'prioritaria', che determina un server di posta secondario nel caso in cui quello primario non funzioni.

I ricercatori di cybersecurity hanno determinato che il gruppo di hacking OilRig ha finora utilizzato il tipo TXT e i tipi di record A nella loro campagna minacciosa, con i record A che fungevano da tecnica prioritaria. Il gruppo OilRig ha personalizzato le query DNS dei record TXT ma utilizza anche query DNS pre-create per i record A.

Costruire una minaccia che utilizza il protocollo DNS non è certamente un compito facile in quanto i truffatori devono essere molto creativi e inventivi per creare una minaccia funzionale e dannosa nonostante le sue capacità limitate. Non è stato rivelato per cosa il gruppo OilRig stia usando il malware Glimpse, ma state certi che continueremo a sentir parlare di queste campagne minacciose in futuro.