Дослідники Netlab китайської ІБ-компанії Qihoo 360 виявили перший в світі зразок шкідливого ПЗ, що використовує протокол DNS поверх HTTPS (DoH).

Шкідливе ПЗ Godlua написано на мові Lua і на зараженій системі грає роль бекдора. Зловмисники використовують його для зараження застарілих Linux-серверів через уразливість в Atlassian Confluence Server (CVE-2019-3396).

Завантажені на VirusTotal ранні версії шкідника були помилково класифіковані як майнер криптовалют, але насправді Godlua є DDoS-ботом, що вже використовуються в реальних атаках. На цей момент дослідники виявили тільки два зразка шкідника зі схожою архітектурою. Обидві версії використовують DoH-запити на текстові записи DNS, що містять URL-адресу C&C-сервера, до якого Godlua підключається для отримання інструкцій.

Сама по собі техніка отримання URL-адреси C&C-сервера з текстового запису DNS далеко не нова. Нове тут – використання DoH-запитів замість стандартних DNS-запитів. Як випливає з назви протоколу, DNS поверх HTTPS відправляє DNS-запити по HTTPS. DoH-запити є зашифрованими і невидимими для сторонніх спостерігачів, у тому числі для рішень безпеки, що використовують пасивний моніторинг DNS для блокування запитів до відомих шкідливих доменів.

Експерти стурбовані тим, що незабаром оператори інших шкідників візьмуть на озброєння цю техніку, зробивши величезне число ІБ-рішень марними.

До речі, Microsoft випустила оновлення Android-додатку “Диспетчер Вашого телефону”, який дозволяє взаємодіяти з ПК на Windows за допомогою смартфону на Android.

Також уразливість в офіційному додатку відомого циркового колективу Cirque du Soleil виявили фахівці антивірусної компанії ESET.

Окрім цього, Кіберкомандування США (United States Cyber Command) попередило про експлуатацію кіберзлочинцями уразливості в поштовому клієнті Outlook з метою впровадження шкідливого програмного забезпечення в урядові мережі.