Иранская группировка оставляет «закладки» в GitHub

Иранская группировка оставляет «закладки» в GitHub

Хакеры прячут в легитимных сервисах вредоносный код неизвестной программы.

image

Группировка Cobalt Mirage, связанная с правительством Ирана, использует новое вредоносное ПО Drokb для атак на различные организации США, используя GitHub в качестве тайника Dead Drop.

Dead Drop Resolver – техника атаки, в ходе которой злоумышленники размещают на легитимных веб-сервисах контент со встроенными вредоносными доменами или IP-адресами, пытаясь скрыть свои намерения. Вредоносный код не содержит адрес C&C-сервера — вместо этого программа обращается к посту, опубликованному в публичном сервисе, и считывает из него строку символов, которые на первый взгляд кажутся бессмысленными. На самом деле это зашифрованная информация, которая служит для активации следующего этапа атаки.

Вредоносная программа Drokbk написана на .NET и состоит из дроппера и полезной нагрузки. Она используется для установки веб-оболочки на скомпрометированный сервер, после чего в ходе бокового перемещения развертываются дополнительные инструменты.

По словам исследователей Secureworks Counter Threat Unit (CTU), Drokbk предоставляет хакерам удаленный доступ и дополнительный вектор атаки, наряду с инструментами туннелирования Fast Reverse Proxy (FRP) и Ngrok. Более того, Drokbk малоизучен и может незаметно находиться в сетях компаний прямо сейчас.

CTU советует организациям применять следующие меры защиты:

  • исправлять системы с выходом в Интернет, поскольку Cobalt Mirage эксплуатирует известные уязвимости ProxyShell и Log4Shell;
  • искать индикаторы компрометации (IOC) , чтобы обнаружить возможное вторжение хакеров;
  • поддерживать актуальность антивирусного ПО;
  • развертывать EDR- и XDR-решения для обеспечения полного мониторинга сетей и облачных систем.

Аналитики Secureworks уже сталкивались с атаками Cobalt Mirage , нацеленными на организации в Израиле, США, Европе и Австралии. Тогда специалисты отметили, что Cobalt Mirage создала 2 совершенно разных набора атак для вторжения в системы. Первый набор атак содержит в себе вымогательское ПО и легитимные инструменты – BitLocker и DiskCryptor, а его основной целью является получение выкупа. Второй набор атак используется для похищения конфиденциальных данных.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!