Forscher erspähen neue Drokbk-Schadsoftware, die GitHub qua Dead-Drop-Resolver verwendet
[ad_1]
Die Untergruppe einer iranischen Nationalstaatsgruppe, vertraut qua Nemesis-Kätzchen wurde qua Hintermann einer zuvor undokumentierten benutzerdefinierten Schadsoftware zugeschrieben Drokbk dieser GitHub qua Dead-Drop-Resolver verwendet, um Fakten von einem infizierten Computer zu exfiltrieren oder Befehle zu empfangen.
„Die Verwendung von GitHub qua virtueller Dead Drop hilft dieser Schadsoftware, sich einzufügen“, sagte Secureworks-Chefforscher Rafe Pilling. „Dieser gesamte Datenverkehr zu GitHub ist verschlüsselt, welches bedeutet, dass defensive Technologien nicht sehen können, welches hin und zurück geleitet wird. Und da GitHub ein legitimer Tätigkeit ist, wirft er weniger Fragen aufwärts.“
Die böswilligen Aktivitäten des von dieser iranischen Regierung gesponserten Akteurs gerieten Herkunft Februar 2022 unter dasjenige Radar, qua beobachtet wurde, wie er Log4Shell-Fehler in ungepatchten VMware Horizon-Servern ausnutzte, um Ransomware bereitzustellen.
Nemesis Leimen wird von dieser größeren Cybersecurity-Netzwerk unter verschiedenen Spitznamen wie TunnelVision, Cobalt Mirage und UNC2448 verfolgt. Es ist gleichwohl ein Untercluster dieser Phosphorus-Posten, wodurch Microsoft ihm die Bezeichnung DEV-0270 gibt.
Es wird gleichwohl gesagt, dass es taktische Überschneidungen mit einem anderen gegnerischen Verbands… namens Cobalt Wunschvorstellung (alias APT42) teilt, einer Phosphorus-Untergruppe, die „mit dieser Implementation von Informationssammlungs- und Überwachungsoperationen gegen Personen und Organisationen von strategischem Motivation z. Hd. die iranische Regierung betraut ist“.
Nachfolgende Untersuchungen dieser Operationen des Angreifers nach sich ziehen zwei unterschiedliche Angriffsgruppen aufgedeckt: Cluster A, dasjenige BitLocker und DiskCryptor einsetzt, um opportunistische Ransomware-Angriffe z. Hd. finanziellen Treffer durchzuführen, und Cluster B, dasjenige gezielte Einbrüche zum Vereinen von Informationen durchführt.
Microsoft, Google Mandiant und Secureworks nach sich ziehen seitdem Beweise gefunden, die die Ursprünge von Cobalt Mirage aufwärts zwei iranische Scheinfirmen Najee Technology und Afkar System zurückführen, die nachdem Unterlagen des US-Finanzministeriums mit dem Islamic Revolutionary Guard Corps (IRGC) verbunden sind.
Drokbk, die neu identifizierte Schadsoftware, ist Cluster B zugeordnet und in .NET geschrieben. Es wird nachdem dieser Ausbeutung qua eine Form dieser Herstellung von Persistenz eingesetzt und besteht aus einem Dropper und einer Nutzlast, die verwendet wird, um Befehle auszuführen, die von einem Remote-Server empfangen werden.
„Erste Nachweis z. Hd. seine Verwendung in freier Wildbahn zeigten sich im Rahmen einem Übergriff im Februar 2022 aufwärts ein lokales US-Regierungsnetzwerk“, sagte dasjenige Cybersicherheitsunternehmen in einem Report, dieser mit The Hacker News geteilt wurde.
Dieser Übergriff beinhaltete die Kompromittierung eines VMware Horizon-Servers unter Verwendung dieser Log4j-Schwachstellen (CVE-2021-44228 und CVE-2021-45046), welches letztendlich zur Zurverfügungstellung dieser Drokbk-Binärdatei mittels eines komprimierten ZIP-Archivs führte, dasjenige aufwärts einem Dateiübertragungsdienst gehostet wird .
Denn Maßregel zur Umgehungsstraße dieser Erkennung verwendet Drokbk eine Technologie namens Dead-Drop-Resolver, um seinen Command-and-Control-Server (C2) zu verpflichten. Dead-Drop-Resolver bezieht sich aufwärts die Verwendung eines legitimen externen Webdienstes zum Hosten von Informationen, die aufwärts eine zusätzliche C2-Unterbau verweisen.
In diesem Sachverhalt wird dies durch die Nutzung eines von Akteuren kontrollierten GitHub-Repositorys erreicht, dasjenige die Informationen in dieser File README.md hostet.
„Drokbk bietet den Bedrohungsakteuren willkürlichen Fernzugriff und eine zusätzliche Stütze neben Tunneling-Tools wie So gut wie Reverse Proxy (FRP) und Ngrok“, sagte Pilling.
[ad_2]