Iranisches APT zielt mit Drokbk-Spyware zusätzlich GitHub hinauf die USA ab

EIN Eine Untergruppe des staatlich unterstützten iranischen Bedrohungsakteurs Cobalt Mirage verwendet eine neue benutzerdefinierte Schadsoftware namens „Drokbk“, um eine Vielzahl von US-Organisationen anzugreifen, womit GitHub denn „Dead-Drop-Resolver“ verwendet wird.

Laut MITRE bezieht sich die Verwendung von Dead-Drop-Resolvern hinauf Angreifer, die Inhalte hinauf legitimen Webdiensten mit eingebetteten schädlichen Domänen oder IP-Adressen veröffentlichen, um ihre schändliche Plan zu verbergen.

In diesem Kasus verwendet Drokbk die Dead-Drop-Resolver-Technologie, um seinen Command-and-Control-Server (C2) zu finden, während es sich mit GitHub verbindet.

„Die C2-Serverinformationen werden hinauf einem Cloud-Tätigkeit in einem Konto gespeichert, dies entweder in welcher Schadsoftware vorkonfiguriert ist oder dies von welcher Schadsoftware deterministisch lokalisiert werden kann“, heißt es in dem Report.

Die Drokbk-Schadsoftware ist in .NET geschrieben und besteht aus einem Dropper und einer Nutzlast.

Typischerweise wird es verwendet, um eine Web-Shell hinauf einem kompromittierten Server zu installieren, worauf zusätzliche Tools denn Teil welcher lateralen Expansionsphase bereitgestellt werden.

Laut dem Report welcher Secureworks Counter Threat Unit (CTU) tauchte Drokbk im Februar nachher einem Invasion in ein lokales US-Regierungsnetzwerk hinauf. Dieser Offensive begann mit einer Kompromittierung eines VMware Horizon-Servers unter Verwendung welcher beiden Log4j-Schwachstellen (CVE-2021-44228 und CVE-2021-45046).

„Sie Horde wurde in diesem Fall beobachtet, wie sie umfassende Scan-and-Exploit-Aktivitäten gegen die USA und Israel durchführte, sodass in diesem Sinne jede Organisation mit anfälligen Systemen an ihrem Perimeter ein potenzielles Ziel darstellt“, sagt Rafe Pilling, Forschungsleiter von Secureworks und thematischer Sprossenstiege z. Hd. den Persien.

Er erklärt, Drokbk biete den Bedrohungsakteuren willkürlichen Fernzugriff und verdongeln zusätzlichen Stopp neben Tunneling-Tools wie Weitestgehend Reverse Proxy (FRP) und Ngrok. Es ist zweite Geige eine relativ unbekannte Schadsoftware.

„Notfalls gibt es da im Freien Organisationen, die dies derzeit unentdeckt in ihren Netzwerken beleuchten“, fügt er hinzu.

Glücklicherweise ist die Verwendung von GitHub denn Dead-Drop-Resolver eine Technologie, nachher welcher Cyber-Verteidiger in ihren Netzwerken suchen können.

„Verteidiger sind unter Umständen nicht in welcher Position, TLS-verschlüsselte Verkehrsströme anzuzeigen, handkehrum sie können sehen, welche URLs angefordert werden, und nachher ungewöhnlichen oder unerwarteten Verbindungen zu GitHub-APIs von ihren Systemen suchen“, bemerkt Pilling.

Dead-Drop-Resolver-Technologie bietet Vielseitigkeit

Die Dead-Drop-Resolver-Technologie bietet Schadsoftware-Betreibern ein gewisses Wasserpegel an Vielseitigkeit, sodass sie ihre C2-Unterbau auf den neuesten Stand bringen und wiewohl die Verkettung zu ihrer Schadsoftware aufrechterhalten können.

„Es hilft zweite Geige welcher Schadsoftware, sich einzufügen, während es verdongeln legitimen Tätigkeit nutzt“, sagt Pilling.

Robustes Patchen ist eine wichtige Verteidigungsstrategie

Pilling rät Unternehmen, mit dem Web verbundene Systeme zu patchen, womit von Rang und Namen ist, dass bekannte und beliebte Schwachstellen wie ProxyShell und Log4Shell von dieser Horde vorzugsweise werden.

„Im Allgemeinen übernehmen solche Horde und andere schnell die neuesten Netzwerkschwachstellen mit zuverlässigem Exploit-Programmcode, von dort ist es entscheidend, diesen robusten Patch-Prozess zu implementieren“, sagt er.

Er empfiehlt Unternehmen außerdem, die Sicherheitstelemetrie nachher den im Report bereitgestellten Indikatoren zu durchsuchen, um Angriffe von Cobalt Mirage zu wiedererkennen, sicherzustellen, dass eine Antivirenlösung umfassend und hinauf dem neuesten Stand ist, und EDR- und XDR-Lösungen bereitzustellen, um eine umfassende Transparenz zusätzlich Netzwerke und Cloud-Systeme hinweg bereitzustellen.

Vom Persien unterstützte Bedrohungsgruppen gedeihen sich weiter, Angriffe nehmen zu

Die CTU stellte außerdem stramm, dass Cobalt Mirage offenkundig zwei verschiedene Gruppen intrinsisch welcher Organisation betreibt, die Secureworks denn Cluster A und Cluster B bezeichnet hat.

„Die anfängliche Ähnlichkeit im Handelshandwerk führte zur Gründung einer einzigen Horde, handkehrum im Laufe welcher Zeit und wohnhaft bei mehreren Einsätzen zur Reaktion hinauf Vorfälle stellten wir stramm, dass wir zwei unterschiedliche Aktivitätscluster hatten“, erklärt Pilling.

In Zukunft wird erwartet, dass die etablierten Gruppen weiterhin gegen Ziele operieren, die mit den Interessen des iranischen Geheimdienstes im In- und Ausland in Einklang stillstehen. Er fügt hinzu, dass welcher verstärkte Kapitaleinsatz von hacktivistischen und cyberkriminellen Personas denn Deckmantel sowohl z. Hd. nachrichtendienstliche denn zweite Geige z. Hd. disruptive Operationen eignen wird.

„E-Mail-Dienst- und Social-Media-basiertes Phishing sind bevorzugte Methoden, und wir werden unter Umständen eine schrittweise Verbesserung welcher Raffinesse feststellen“, erklärt er.

In einer gemeinsamen Tipp, die am 17. November hrsg. wurde, warnten Cybersicherheitsbehörden in den Vereinigten Staaten, Großbritannien und Down Under vor Angriffen von Gruppen, die mit dem Persien in Verkettung stillstehen. Cobalt Mirage ist kaum z. Hd. sich selber.

„In den letzten zwei Jahren nach sich ziehen wir gesehen, wie mehrere Gruppenpersönlichkeiten auftauchten – Moses‘ Stab, Abrahams Hackebeil, Hackers of Saviour, Homeland Justice, um nur wenige zu nennen — hauptsächlich gegen Israel, handkehrum in jüngerer Zeit zweite Geige gegen Albanien und Saudi-Arabien, und zur Folge haben Hack-and-Leak-Angriffe in Zusammensetzung mit Informationsoperationen durch”, sagt Pilling.

Dasjenige US-Finanzministerium hat schon Maßnahmen ergriffen, um die iranische Regierung wegen ihrer Aktivitäten im Staatsgut welcher Cyberkriminalität zu sanktionieren, von denen dies Ministerium behauptet, dass sie wissenschaftlich zusätzlich eine Schlange von Advanced Persistent Threat (APT)-Gruppen gegen US-Ziele durchgeführt wurden.