Ngày 09 tháng 12 năm 2022Ravie Lakshmanan Phần mềm độc hại / Tin tặc Iran
Nhóm con của một nhóm quốc gia-nhà nước Iran được gọi là mèo con kẻ thù đã được cho là đứng sau một phần mềm độc hại tùy chỉnh không có giấy tờ trước đây có tên là Drokbk sử dụng github làm trình giải quyết lỗi chết để trích xuất dữ liệu từ máy tính bị nhiễm hoặc để nhận lệnh.
Rafe Pilling, nhà nghiên cứu chính của Secureworks cho biết: “Việc sử dụng GitHub như một điểm chết ảo giúp phần mềm độc hại hòa trộn vào”. “Tất cả lưu lượng truy cập vào GitHub đều được mã hóa, nghĩa là các công nghệ phòng thủ không thể nhìn thấy những gì đang được truyền qua lại. Và vì GitHub là một dịch vụ hợp pháp nên nó đặt ra ít câu hỏi hơn.”
Các hoạt động độc hại của diễn viên do chính phủ Iran tài trợ đã bị phát hiện vào đầu tháng 2 năm 2022, khi người ta quan sát thấy kẻ này khai thác lỗ hổng Log4Shell trong các máy chủ VMware Horizon chưa được vá để triển khai ransomware.
Nemesis Kitten được theo dõi bởi cộng đồng an ninh mạng lớn hơn dưới nhiều biệt danh khác nhau như TunnelVision, Cobalt Mirage và UNC2448. Nó cũng là một cụm con của nhóm Phốt pho, với việc Microsoft đặt tên cho nó là DEV-0270.
Nó còn được cho là chia sẻ các chồng chéo chiến thuật với một tập thể đối nghịch khác có tên là Cobalt Illusion (hay còn gọi là APT42), một nhóm nhỏ Phốt pho “được giao nhiệm vụ tiến hành các hoạt động giám sát và thu thập thông tin chống lại các cá nhân và tổ chức có lợi ích chiến lược đối với chính phủ Iran.”
Các cuộc điều tra sau đó về hoạt động của kẻ thù đã phát hiện ra hai nhóm xâm nhập riêng biệt: Cụm A, sử dụng BitLocker và DiskCryptor để thực hiện các cuộc tấn công ransomware cơ hội nhằm thu lợi tài chính và Cụm B, thực hiện các vụ đột nhập có mục tiêu để thu thập thông tin tình báo.
Kể từ đó, Microsoft, Google Mandiant và Secureworks đã khai quật được bằng chứng truy tìm nguồn gốc của Cobalt Mirage đối với hai công ty bình phong của Iran là Najee Technology và Afkar System, theo Bộ Tài chính Hoa Kỳ, có liên kết với Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC).
Drokbk, phần mềm độc hại mới được xác định, được liên kết với Cụm B và được viết bằng .NET. Được triển khai sau khi khai thác như một hình thức thiết lập tính bền vững, nó bao gồm một trình nhỏ giọt và một trọng tải được sử dụng để thực thi các lệnh nhận được từ một máy chủ từ xa.
Công ty an ninh mạng cho biết trong một báo cáo được chia sẻ với The Hacker News: “Những dấu hiệu ban đầu về việc sử dụng nó trong tự nhiên đã xuất hiện trong một vụ xâm nhập vào mạng của chính quyền địa phương Hoa Kỳ vào tháng 2 năm 2022”.
Cuộc tấn công này kéo theo sự thỏa hiệp của máy chủ VMware Horizon bằng cách sử dụng các lỗ hổng Log4j (CVE-2021-44228 và CVE-2021-45046), cuối cùng dẫn đến việc phân phối tệp nhị phân Drokbk bằng phương tiện lưu trữ ZIP nén được lưu trữ trên dịch vụ truyền tệp .
Là một biện pháp tránh bị phát hiện, Drokbk sử dụng một kỹ thuật gọi là trình phân giải dead drop để xác định máy chủ chỉ huy và kiểm soát (C2) của nó. Chiến thuật bí mật đề cập đến việc sử dụng một dịch vụ web bên ngoài hợp pháp hiện có để lưu trữ thông tin trỏ đến cơ sở hạ tầng C2 bổ sung.
Trong chuỗi tấn công mà Secureworks quan sát được, điều này đạt được bằng cách tận dụng kho lưu trữ GitHub do tác nhân kiểm soát có chứa thông tin máy chủ C2 trong tệp README.md.
“Drokbk cung cấp cho các tác nhân đe dọa quyền truy cập từ xa tùy ý và một chỗ đứng bổ sung bên cạnh các công cụ tạo đường hầm như Fast Reverse Proxy (FRP) và Ngrok,” Pilling nói.
