ClickCease Drokbk-Malware zielt angeblich auf amerikanische Kommunalverwaltungen

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Drokbk-Malware zielt angeblich auf amerikanische Kommunalverwaltungen

21. Dezember 2022. TuxCare PR Team

Laut den Forschern der Counter Threat Unit von Secureworks hat die Drokbk-Malware seit Februar die Netzwerke mehrerer lokaler Regierungen in den Vereinigten Staaten ins Visier genommen. Cobalt Mirage, auch bekannt als UNC2448 oder Nemesis Kitten, wird angeblich von von der iranischen Regierung unterstützten Gruppen genutzt, um die Log4j-Schwachstelle auszunutzen und die Drokbk-Malware zu verbreiten.

Die Drokbk-Malware, die nach einer Netzwerkinfiltration entdeckt wurde, nutzt GitHub, um ihre Befehls- und Kontrollinfrastruktur zu sichern. Laut Rafe Pilling, leitender Sicherheitsforscher bei Secureworks, nutzt Cobalt Mirage die Drokbk-Malware, um ihren Zugang zum Netzwerk eines Opfers aufrechtzuerhalten.

Cobalt Mirage soll Anweisungen zum Standort von Command-and-Control-Servern zusammengestellt und in einem GitHub-Repository gespeichert haben. Diese Befehle werden von ihrem "Agenten" im Inneren, bekannt als Drokbk, gesammelt, der die Malware anweist, mit welchem Server sie als Nächstes kommunizieren soll, wobei GitHub es leichter macht, unentdeckt zu bleiben. Drokbk verwendet eine Technik, die als Dead-Drop-Resolver bekannt ist, um seinen Command-and-Control-Server (C2) zu bestimmen und so einer Entdeckung zu entgehen. Bei dieser verdeckten Taktik wird ein bestehender, legitimer externer Webdienst verwendet, um Informationen zu hosten, die auf eine zusätzliche C2-Infrastruktur verweisen.

"Der Einbruch im Februar, der von den Secureworks-Mitarbeitern untersucht wurde, begann mit der Kompromittierung eines VMware Horizon-Servers unter Ausnutzung von zwei Log4j-Schwachstellen (CVE-2021-44228 und CVE-2021-45046)", hieß es. Dies führte zur Auslieferung der Drokbk-Binärdatei mittels eines komprimierten ZIP-Archivs, das auf einem Dateiübertragungsdienst gehostet wurde.

Nach Untersuchungen der Operationen von Cobalt Mirage wurden außerdem zwei verschiedene Gruppen von Eindringlingen entdeckt: Cluster A, der BitLocker und DiskCryptor verwendet, um opportunistische Ransomware-Angriffe zur Erzielung finanzieller Gewinne durchzuführen, und Cluster B, der gezielte Einbrüche zur Sammlung von Informationen durchführt. Drokbk ist eine in .NET geschriebene Anwendung für Cluster B. Sie wird verwendet, um nach der Ausnutzung eine Persistenz herzustellen, und besteht aus einem Dropper und einer Nutzlast, die zur Ausführung von Befehlen verwendet wird, die von einem Remote-Server empfangen werden.

Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.

Zusammenfassung
Drokbk-Malware zielt angeblich auf amerikanische Kommunalverwaltungen
Artikel Name
Drokbk-Malware zielt angeblich auf amerikanische Kommunalverwaltungen
Beschreibung
Laut Secureworks-Forschern hat die Drokbk-Malware die Netzwerke mehrerer lokaler Behörden in den Vereinigten Staaten ins Visier genommen.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter