پویش جدیدی با نام DNSMessenger کشف شده که از سرورهای آلوده ی دولت آمریکا برای میزبانی بدافزارها سوءاستفاده می کند. این پویش که تا اوایل ماه مارس شناسایی نشده بود از درخواست های DNS برای برقراری ارتباط بین بدافزار و سرور دستور و کنترل استفاده می کرد. این پویش کاملا بدون فایل بوده و برای بسیاری از راه کارهای امنیتی، ناشناخته باقی می ماند و محققان آن را جزو حملات بسیار مهم و جدی طبقه بندی کرده اند.
سیسکو اخیرا اعلام کرده حملات بیشتری را شناسایی کرده که از این بدافزار استفاده می کنند و سازمان های مختلفی را برای آلوده کردن به بدافزار هدف قرار داده اند. در این پویش ها از رکوردهای DNS TXT برای ایجاد کانال دستور و کنترل دوطرفه و ارتباط مستقیم با پردازنده ی دستورات ویندوز استفاده می شود.
مهاجمان سایبری برای توزیع بدافزار از ایمیلهای فیشینگ استفاده کرده و در مرحلهی دوم از حملات خود، برای میزبانی کدهای مخرب از سرورهای آلودهی دولت آمریکا استفاده میکنند. در ماه مارس این حملات شناسایی شد که سازمانهایی در آمریکا را هدف قرار داده بود و به یک گروه نفوذ با نام FIN7 نسبت داده شد. در ادامه در پویش DNSMessenger مشاهده شد از یک چارچوب دیگری نیز استفاده میشود و این عملیات همگی به یک گروه واحد نسبت داده شد.
محققان میگویند حملات بدافزاری که اخیرا مشاهده شده، مشابه حملاتی است که در پویش DNSMessenger وجود داشت. این حملات بسیار هدفمند هستند و مهاجمان از روشهای مختلف مبهمسازی استفاده میکنند. همچنین فرآیند آلودگی به این بدافزار از چندین مرحله تشکیل شده است. در این ایمیلهای فیشینگ، از اسناد مخرب مایکروسافت ورد استفاده شده که باید برای اجرای کدهای مخرب از تبادل دادهی پویا (DDE) استفاده شود. زمانی که این فایلها باز میشود از کاربر خواسته میشود تا اجازهی بازیابی محتوا از لینکهای خارجی را صادر کند.
در اسناد مخرب از فیلد DDEAUTO برای بازیابی اولیهی کدهای مخرب از یک وبسایت مخرب که در لوئیزیانا میزبانی میشود، استفاده شده است. کدهایی که دانلود شد با استفاده از پاورشِل اجرا شده و مسئول حفظ ماندگاری در سیستم و دانلود مراحل بعدی بدافزار است. مرحلهی بعدی از آلودگی بسیار شدید مبهمسازی شده و با سرور دستور و کنترل ارتباط برقرار کرده و کدها و دستورات را در قالب DNS دریافت میکند. زمانیکه این مرحله کامل شد، رشتهی حاصل دیکد شده و از حالت فشرده خارج میشود و برای اجرا شدن به پاورشِل تحویل داده میشود.
محققان امنیتی نتوانستند مرحلهی بعدی آلودگی و کدهای آن را از سرور دستور و کنترل بدست بیاورند. به نظر میرسد مهاجمان در این حملات هدفمند، دسترسی به سرور دستور و کنترل را بسیار محدود کردهاند.کدهای مرحلهی ۴ که توسط دیگر محققان کشف شده، رکوردهای دیگری از DNS است که برای ارسال دستورات و خارج کردن دادهها از سیستم قربانی در قالب یک فرم وب مورد استفاده قرار میگیرد.