Vislumbrar

Glimpse es una herramienta de piratería recientemente descubierta que se cree que es la creación del grupo OilRig. Este grupo de piratería también se conoce como APT34 (Amenaza persistente avanzada) y se origina en Irán. Los investigadores de malware han estado familiarizados con el grupo de piratería OilRig por un tiempo, y se sabe que son altamente calificados y muy amenazantes. El malware Glimpse está construido de una manera muy interesante. La amenaza Glimpse utiliza el protocolo DNS en lugar de utilizar las conexiones FTP o HTTP habituales y bastante ruidosas. Sin embargo, a pesar de que esto reduce significativamente el ruido de la operación dañina, también tiene algunos lados negativos significativos. El uso del protocolo DNS dificulta en gran medida las capacidades de la amenaza Glimpse. La razón detrás de esto es que este método solo admite ciertos caracteres y tiene una cantidad limitada de datos que se pueden transferir, por lo tanto, perjudica el malware.

Los cuatro tipos de registros primarios

Hay cuatro registros principales, que son compatibles con el protocolo DNS:

• Registros CNAME (nombre canónico): conectan un cierto nombre de host al dominio o subdominio.
• Registros TXT : sirven para almacenar texto diferente, generalmente vinculado a información de dominio como dirección, nombre, contacto, etc., o datos relacionados con la verificación (como los datos del Marco de políticas del remitente).
• A Registros : el tipo de registro básico, que sirve para conectar una dirección IP específica a un dominio o subdominio.
• Registros MX (intercambio de correo) : tienen el mismo propósito que los registros A, pero poseen una función de 'prioridad', que determina un servidor de correo secundario en caso de que el principal no funcione.

Los investigadores de ciberseguridad han determinado que el grupo de piratería OilRig ha utilizado hasta ahora el tipo TXT y los tipos de registro A en su campaña amenazante, con los registros A sirviendo como una técnica prioritaria. El grupo OilRig ha personalizado las consultas DNS de los registros TXT, pero también utiliza consultas DNS prefabricadas para los registros A.

Crear una amenaza que use el protocolo DNS ciertamente no es una tarea fácil, ya que los estafadores deben ser muy creativos e inventivos para hacer una amenaza funcional y dañina a pesar de sus capacidades limitadas. No se ha revelado para qué está utilizando el grupo OilRig el malware Glimpse, pero puede estar seguro de que seguiremos escuchando sobre estas campañas amenazantes en el futuro.