O subgrupo de um grupo de estado-nação iraniano conhecido como Nemesis Kitten foi atribuído como responsável pelo novo malware Drokbk, que usa o GitHub como um resolvedor de dead drop.
Esse malware estaria usando o GitHub como um resolvedor de dead drop para exfiltrar dados de um computador infectado ou para receber comandos. “O uso do GitHub como um ponto morto virtual ajuda o malware a se misturar”, disse Rafe Pilling, principal pesquisador da Secureworks.
“Todo o tráfego para o GitHub é criptografado, o que significa que as tecnologias defensivas não podem ver o que está sendo transmitido. E como o GitHub é um serviço legítimo, ele levanta menos questões”.
Malware Drokbk usa o GitHub para exfiltrar dados
As atividades maliciosas do Drokbk ficaram sob o radar no início de fevereiro de 2022, quando foi observado a exploração de falhas do Log4Shell em servidores VMware Horizon não corrigidos para implantar ransomware.
O Nemesis Kitten é rastreado pela maior comunidade de segurança cibernética sob vários apelidos, como TunnelVision, Cobalt Mirage e UNC2448. É também um subcluster do grupo Phosphorus, com a Microsoft dando a ele a designação DEV-0270.
Ele compartilha sobreposições táticas com outro coletivo adversário chamado Cobalt Illusion (também conhecido como APT42), um subgrupo do Phosphorus que “tem a tarefa de conduzir operações de coleta e vigilância de informações contra indivíduos e organizações de interesse estratégico para o governo iraniano”.
Investigações ta,bém revelaram que as operações do adversário revelaram dois conjuntos distintos de invasões: Cluster A, que emprega BitLocker e DiskCryptor para conduzir ataques de ransomware oportunistas para ganho financeiro, e Cluster B, que realiza invasões direcionadas para coleta de informações.
Desde então, Microsoft, Google Mandiant e Secureworks desenterraram evidências que rastreiam as origens do Cobalt Mirage para duas empresas de fachada iranianas, Najee Technology e Afkar System, que, de acordo com o Departamento do Tesouro dos EUA, são afiliadas ao Corpo da Guarda Revolucionária Islâmica (IRGC).
Drokbk
Drokbk está associado ao Cluster B e é escrito em .NET. Implantado pós-exploração como forma de estabelecimento de persistência, consiste em um conta-gotas e um payload que serve para executar comandos recebidos de um servidor remoto.
Esse malware usa uma técnica chamada dead drop resolvedor para determinar seu servidor de comando e controle (C2). O resolvedor de dead drop refere-se ao uso de um serviço da Web externo legítimo para hospedar informações que apontam para infraestrutura C2 adicional. Nesse caso, isso é obtido aproveitando um repositório GitHub controlado por ator que hospeda as informações no arquivo README.md.
De acordo com Pilling, “Drokbk fornece aos agentes de ameaças acesso remoto arbitrário e uma posição adicional ao lado de ferramentas de tunelamento como Fast Reverse Proxy (FRP) e Ngrok”, disse Pilling”.