Ad un gruppo di hacker iraniano noto come Nemesis Kitten è stato attribuito come responsabile di un malware personalizzato precedentemente non documentato denominato Drokbk che utilizza GitHub come risolutore di Dead Drop per rubare dati da un PC infetto o per ricevere varie tipologia di dati in generale.
“L’uso di GitHub come Dead Drop virtuale aiuta il malware a mimetizzarsi“, ha affermato Rafe Pilling, ricercatore principale di Secureworks. “Tutto il traffico verso GitHub è crittografato, il che significa che le tecnologie [software] difensive non possono vedere cosa viene passato avanti e indietro. E dato che GitHub è un servizio legittimo, solleva meno dubbi.”
Le attività dannose dell’ignoto autore mandato (presumibilmente) dal governo iraniano sono passate sotto il radar all’inizio di febbraio 2022, quando è stato osservato sfruttare i difetti di Log4Shell nei server VMware Horizon senza patch per mettere dei ransomware in circolazione.
Come si è venuti a sapere di Drokbk e perché sfrutta Github?
Nemesis Kitten è monitorato dalla più ampia comunità di sicurezza informatica sotto vari soprannomi come TunnelVision, Cobalt Mirage e UNC2448; pare sia anche un sub-cluster del gruppo Phosphorus, dato che Microsoft gli ha dato la designazione DEV-0270.
Sembra, inoltre, che questo gruppo condivida sovrapposizioni tattiche con un altro gruppo chiamato Cobalt Illusion (noto anche come APT42), un sottogruppo Phosphorus che ha “il compito di condurre operazioni di raccolta di informazioni e sorveglianza contro individui e organizzazioni di interesse strategico per il governo iraniano“.
Successive indagini sulle operazioni dei malintenzionati che usano questo famigerato Drokbk hanno scoperto due distinti tipi di intrusioni: il Cluster A, che impiega BitLocker e DiskCryptor per condurre attacchi ransomware studiati a scopo di lucro, e il Cluster B, che effettua irruzioni mirate per il furto di informazioni.
Microsoft, Google Mandiant e Secureworks da allora hanno portato alla luce delle prove che fanno risalire le origini di Cobalt Mirage a due società usate come copertura di origine iraniana; esse sarebbero Najee Technology e Afkar System che, secondo il Dipartimento del Tesoro degli Stati Uniti, sono affiliate al Corpo delle guardie rivoluzionarie islamiche.
Drokbk, il malware appena identificato, è associato al Cluster B ed è scritto in .NET. (un linguaggio Microsoft) Distribuito per attivarsi automaticamente su dispositivi infetti, esso consiste in un dropper e un payload e viene utilizzato per eseguire i comandi ricevuti da un server remoto.
“I primi segni del suo utilizzo come scesa in campo risalgono ad un’intrusione nel febbraio 2022 in una rete del governo locale degli Stati Uniti“, ha affermato la società di sicurezza informatica in un rapporto.
Questo attacco ha compromesso un server VMware Horizon utilizzando le vulnerabilità Log4j (CVE-2021-44228 e CVE-2021-45046), portando infine alla consegna del binario Drokbk tramite un archivio ZIP compresso ospitato su un servizio di trasferimento file.
Come misura di evasione del rilevamento, Drokbk utilizza una tecnica chiamata dead drop resolver per determinare il suo server di comando e controllo. La tattica segreta si riferisce all’uso di un servizio Web esterno esistente e legittimo per ospitare informazioni che puntano a un’infrastruttura C2 aggiuntiva (come visto, in questo caso è Github).
Nella serie di attacchi monitorata da Secureworks, ciò si ottiene sfruttando un repository GitHub controllato da un autore malintenzionato che contiene le informazioni del server C2 all’interno del file README.md.
Logo di Secureworks
“Drokbk fornisce agli autori delle minacce [informatiche] un accesso remoto arbitrario e un ulteriore punto d’appoggio insieme a strumenti di tunneling come Fast Reverse Proxy (FRP) e Ngrok“, ha affermato Pilling.
Se lo dovessi incontrare, come ti difendi?
Valgono sempre le regole del “stare attenti a dove si clicca”, purtroppo servizi come Github che sono l’apoteosi della libertà informatica vengono sfruttati appunto da malintenzionati per scopi come questi (furto di dati, credenziali, controllare dispositivi da remoto, etc.).
In ogni caso ricorda sempre: non esiste un attacco ransomware.
————-
Contenuto pubblicato su tech.icrewplay.com Read More