The Hacker Newsはこのほど、「ChamelDoH: New Linux Backdoor Utilizing DNS-over-HTTPS Tunneling for Covert CnC」において、「ChamelGang」と呼ばれる脅威者によるLinuxを標的としたキャンペーンが展開されているとして、注意を喚起した。これまで文書化されていなかったインプラントを使用してLinuxをバックドア化するマルウェアが確認されている。

ChamelGangは、2021年9月にロシアのセキュリティベンダーにより初めて文書化された脅威者。これまでDoorMeと呼ばれるパッシブバックドアを使用し、ロシア、米国、インド、ネパール、台湾、日本などのエネルギー産業や航空製造業、政府機関を標的にサイバー攻撃を行っていることが観測されている。

ChamelGangによる新たなキャンペーンが特定され、新たなバックドアが使われていることが明らかとなった。新たなバックドアは「ChamelDoH」と名付けられており、DNS-over-HTTPS(DoH)トンネリングを介して通信を行うC++ベースのツールとされている。バックドアの一部はシステム情報を取得するよう設計されており、ファイルのアップロードおよびダウンロード、削除、シェルコマンド実行などリモートアクセス操作を行う上で豊富な機能が提供されている。

またHTTPSプロトコルでDNSの解決を行うDoHを悪用して、不正なネームサーバにDNSのTXTリクエストを送信するという斬新な通信方法が明らかにされている。DoHプロトコルが利用されるため、企業が簡単にブロックすることができなくなるとされている。

さらに、コマンド&コントロール(C2: Command and Control)との通信にDoHプロトコルを使用することでHTTPSで通信され、敵対的中間者攻撃(AiTM: Adversary-in-The-Middle)によるリクエストが傍受されにくくなる利点があると説明している。

以前から活動を続けているChamelGangによる新たなキャンペーンが各国の政府機関や産業企業に使われる可能性があり、新たなキャンペーンによるLinuxへの影響が懸念されている。