垣間見る

Glimpseは、OilRigグループの作成と考えられている、新たに発見されたハッキングツールです。このハッキンググループはAPT34 （Advanced Persistent Threat）とも呼ばれ、イランを起源としています。マルウェア研究者はしばらくの間、OilRigハッキンググループに精通しており、高度なスキルと非常に脅威的な存在として知られています。 Glimpseマルウェアは非常に興味深い方法で構築されています。 Glimpse脅威は、通常のノイズの多いFTPまたはHTTP接続を利用する代わりにDNSプロトコルを使用します。ただし、有害な操作のノイズが大幅に削減されるにもかかわらず、いくつかの重大なマイナス面もあります。 DNSプロトコルの使用は、Glimpse脅威の機能を大きく妨げます。この背後にある理由は、この方法が特定の文字のみをサポートし、転送できるデータの量が制限されているため、マルウェアがハンディキャップされるためです。

4つの主要なレコードタイプ

DNSプロトコルでサポートされている4つの主要なレコードがあります。

• CNAME （正規名）レコード–特定のホスト名をドメインまたはサブドメインに接続します。
• TXTレコード –通常、住所、名前、連絡先などのドメイン情報、または検証に関するデータ（Sender Policy Frameworkデータなど）にリンクされたさまざまなテキストを保存する役割を果たします。
• Aレコード -特定のIPアドレスをドメインまたはサブドメインに接続するための基本的なレコードタイプ。
• MX（メール交換）レコード -Aレコードと同じ目的を果たしますが、プライマリサーバーが機能していない場合にセカンダリメールサーバーを決定する「優先度」機能を備えています。

サイバーセキュリティ研究者は、OilRigハッキンググループがこれまでの脅威キャンペーンでTXTタイプとAレコードタイプを利用しており、Aレコードが優先的な手法であると判断しました。 OilRigグループには、TXTレコードのDNSクエリがカスタム構築されていますが、Aレコードには事前に作成されたDNSクエリも使用されます。

DNSプロトコルを使用する脅威を構築することは確かに簡単な作業ではありません。詐欺師は能力が限られているにもかかわらず機能的で有害な脅威を作り出すために非常に創造的で独創的である必要があります。 OilRigグループがGlimpseマルウェアを何に使用しているのかは明らかにされていませんが、今後もこれらの脅迫的なキャンペーンについて耳を傾けるつもりです。