ClickCease Le malware Drokbk viserait les collectivités locales américaines

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Le malware Drokbk viserait les collectivités locales américaines

21 décembre 2022 - L'équipe de relations publiques de TuxCare

Selon les chercheurs de l'unité de lutte contre les menaces de Secureworks, le malware Drokbk cible depuis février les réseaux de plusieurs administrations locales aux États-Unis. Cobalt Mirage, également connu sous le nom de UNC2448 ou Nemesis Kitten, serait utilisé par des groupes soutenus par le gouvernement iranien pour exploiter la vulnérabilité Log4j et distribuer le malware Drokbk.

Le malware Drokbk, qui a été découvert après une infiltration du réseau, a également été découvert comme utilisant GitHub pour sécuriser son infrastructure de commande et de contrôle. Selon Rafe Pilling, chercheur principal en sécurité chez Secureworks, Cobalt Mirage utilise le malware Drokbk pour maintenir son accès au réseau d'une victime.

Cobalt Mirage aurait rassemblé les instructions de localisation des serveurs de commande et de contrôle et les aurait stockées dans un dépôt GitHub. Ces commandes sont recueillies par leur "agent" à l'intérieur, connu sous le nom de Drokbk, qui indique au logiciel malveillant avec quel serveur communiquer ensuite, GitHub permettant de ne pas être détecté. Drokbk utilise une technique appelée "dead drop resolver" pour déterminer son serveur de commande et de contrôle (C2) afin d'échapper à la détection. Cette tactique secrète consiste à utiliser un service web externe existant et légitime pour héberger des informations pointant vers une infrastructure C2 supplémentaire.

"L'intrusion de février sur laquelle les intervenants de Secureworks ont enquêté a commencé par la compromission d'un serveur VMware Horizon à l'aide de deux vulnérabilités Log4j (CVE-2021-44228 et CVE-2021-45046). Cela a conduit à la livraison du binaire Drokbk au moyen d'une archive ZIP compressée hébergée sur un service de transfert de fichiers.

En outre, après des enquêtes sur les opérations du Cobalt Mirage, deux ensembles d'intrusions distincts ont été découverts : Le Cluster A, qui utilise BitLocker et DiskCryptor pour mener des attaques opportunistes de ransomware à des fins de gain financier, et le Cluster B, qui mène des intrusions ciblées pour la collecte de renseignements. Drokbk est une application du Cluster B écrite en .NET. Elle est utilisée pour établir la persistance après l'exploitation et se compose d'un dropper et d'une charge utile qui est utilisée pour exécuter les commandes reçues d'un serveur distant.

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
Le malware Drokbk viserait les collectivités locales américaines
Nom de l'article
Le malware Drokbk viserait les collectivités locales américaines
Description
Selon les chercheurs de Secureworks, le malware Drokbk a ciblé les réseaux de plusieurs administrations locales aux États-Unis.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information