El malware Drokbk supuestamente se dirige al gobierno local estadounidense
Según los investigadores de la Unidad de Contraamenazas de Secureworks, el malware Drokbk ha estado atacando las redes de varios gobiernos locales de Estados Unidos desde febrero. Cobalt Mirage, también conocido como UNC2448 o Nemesis Kitten, es utilizado presuntamente por grupos respaldados por el gobierno iraní para explotar la vulnerabilidad Log4j y distribuir el malware Drokbk.
También se descubrió que el malware Drokbk, descubierto tras una infiltración en la red, utiliza GitHub para asegurar su infraestructura de mando y control. Según Rafe Pilling, investigador principal de seguridad de Secureworks, Cobalt Mirage utiliza el malware Drokbk para mantener su acceso en la red de una víctima.
Se dice que Cobalt Mirage ha empaquetado instrucciones de ubicación de servidores de comando y control y las ha almacenado en un repositorio de GitHub. Estos comandos son recogidos por su "agente" en el interior, conocido como Drokbk, que da instrucciones al malware sobre con qué servidor comunicarse a continuación, con GitHub haciendo más fácil pasar desapercibido. Drokbk utiliza una técnica conocida como dead drop resolver para determinar su servidor de mando y control (C2) como medida de evasión de la detección. La táctica encubierta consiste en utilizar un servicio web externo legítimo para alojar información que apunte a una infraestructura C2 adicional.
"La intrusión de febrero que investigó el equipo de respuesta a incidentes de Secureworks comenzó con un ataque a un servidor VMware Horizon que utilizaba dos vulnerabilidades de Log4j (CVE-2021-44228 y CVE-2021-45046). Esto condujo a la entrega del binario Drokbk mediante un archivo ZIP comprimido alojado en un servicio de transferencia de archivos.
Además, tras investigar las operaciones de Cobalt Mirage, se han descubierto dos grupos de intrusión distintos: El grupo A, que utiliza BitLocker y DiskCryptor para realizar ataques oportunistas de ransomware con fines lucrativos, y el grupo B, que lleva a cabo intrusiones selectivas para recabar información. Drokbk es una aplicación del Cluster B escrita en .NET. Se utiliza para establecer la persistencia después de la explotación y consiste en un dropper y una carga útil que se utiliza para ejecutar comandos recibidos de un servidor remoto.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.