Le malware Drokbk viserait les collectivités locales américaines
Selon les chercheurs de l'unité de lutte contre les menaces de Secureworks, le malware Drokbk cible depuis février les réseaux de plusieurs administrations locales aux États-Unis. Cobalt Mirage, également connu sous le nom de UNC2448 ou Nemesis Kitten, serait utilisé par des groupes soutenus par le gouvernement iranien pour exploiter la vulnérabilité Log4j et distribuer le malware Drokbk.
Le malware Drokbk, qui a été découvert après une infiltration du réseau, a également été découvert comme utilisant GitHub pour sécuriser son infrastructure de commande et de contrôle. Selon Rafe Pilling, chercheur principal en sécurité chez Secureworks, Cobalt Mirage utilise le malware Drokbk pour maintenir son accès au réseau d'une victime.
Cobalt Mirage aurait rassemblé les instructions de localisation des serveurs de commande et de contrôle et les aurait stockées dans un dépôt GitHub. Ces commandes sont recueillies par leur "agent" à l'intérieur, connu sous le nom de Drokbk, qui indique au logiciel malveillant avec quel serveur communiquer ensuite, GitHub permettant de ne pas être détecté. Drokbk utilise une technique appelée "dead drop resolver" pour déterminer son serveur de commande et de contrôle (C2) afin d'échapper à la détection. Cette tactique secrète consiste à utiliser un service web externe existant et légitime pour héberger des informations pointant vers une infrastructure C2 supplémentaire.
"L'intrusion de février sur laquelle les intervenants de Secureworks ont enquêté a commencé par la compromission d'un serveur VMware Horizon à l'aide de deux vulnérabilités Log4j (CVE-2021-44228 et CVE-2021-45046). Cela a conduit à la livraison du binaire Drokbk au moyen d'une archive ZIP compressée hébergée sur un service de transfert de fichiers.
En outre, après des enquêtes sur les opérations du Cobalt Mirage, deux ensembles d'intrusions distincts ont été découverts : Le Cluster A, qui utilise BitLocker et DiskCryptor pour mener des attaques opportunistes de ransomware à des fins de gain financier, et le Cluster B, qui mène des intrusions ciblées pour la collecte de renseignements. Drokbk est une application du Cluster B écrite en .NET. Elle est utilisée pour établir la persistance après l'exploitation et se compose d'un dropper et d'une charge utile qui est utilisée pour exécuter les commandes reçues d'un serveur distant.
Les sources de cet article comprennent un article de TheHackerNews.