Un grupo iraní de amenazas persistentes avanzadas (APT) asociado con la operación rastreada como Cobalt Mirage recurrió a GitHub como un medio para operar su último malware personalizado, conocido como Drokbk, utilizando un repositorio alojado por el centro de código abierto como un llamado muerto. suelte el resolver para transmitir las instrucciones de comando y control (C2).
De acuerdo con la nueva inteligencia reunida por la Unidad Contra Amenazas (CTU) de Secureworks, el Grupo B, que probablemente esté patrocinado por el Cuerpo de la Guardia Revolucionaria Islámica (IGRC) de Teherán, ha comenzado a empaquetar las instrucciones de ubicación del servidor C2 y almacenarlas en un repositorio de GitHub para ser recopilados por el malware Drokbk para su uso posterior.
La técnica refleja un elemento tradicional del espionaje conocido como entrega de letra muerta, en la que los agentes en el campo pasan documentos, dinero y otros artículos utilizando una ubicación secreta, sin establecer contacto entre ellos.
Aunque recuerda a la ficción de Ian Fleming o John Le Carré, el punto muerto sigue vivo en el siglo XXI como una forma de comunicación de corto alcance: en 2012, el Reino Unido se vio obligado a admitir que usó una roca de plástico falsa para ocultar equipos de vigilancia dirigidos a Rusia. , por el que el personal de la embajada pasaba periódicamente y descargaba información. Un concepto similar subyace en el proyecto de código abierto SecureDrop, que conecta a los denunciantes con los periodistas de investigación.
Al informar sobre sus hallazgos en Black Hat Europe, Rafe Pilling, investigador principal de Secureworks y líder temático para la investigación centrada en Irán, dijo que el uso de GitHub permitió que el Clúster B evadiera la detección más fácilmente al ayudar a que el malware Drokbk se mezclara.
“Todo el tráfico a GitHub está encriptado, lo que significa que las tecnologías defensivas no pueden ver lo que se pasa de un lado a otro”, dijo. “Y debido a que Github es un servicio legítimo, genera menos preguntas”.
El equipo de Secureworks CTU dice que el uso de Drokbk por parte de Cluster B parece remontarse a febrero de 2022, cuando sus propios respondedores de incidentes lo encontraron mientras realizaban la primera respuesta luego de un ataque cibernético en un organismo del gobierno local en los EE. UU. Se descubrió que este ataque comenzó con el compromiso de un servidor VMware Horizon a través de la vulnerabilidad Log4j/Log4Shell, un modus operandi favorito de Cobalt Mirage y que todavía se está explotando con éxito hasta el día de hoy.
“Hasta la fecha, Drokbk ha mantenido un perfil bajo y no se ha documentado en código abierto, por lo que esta es la primera mirada realmente profunda a cómo funciona bajo el capó”, dijo Pilling.
“Drokbk proporciona a los actores de amenazas acceso remoto arbitrario y un punto de apoyo adicional junto con herramientas de tunelización como Fast Reverse Proxy. [FRP] y Ngrok. Nuestro consejo para las organizaciones es utilizar los controles disponibles para revisar y restringir el acceso a las direcciones IP, dominios y URL asociados con Drokbk, que hemos enumerado en nuestro blog”.
El propio malware Drokbk está codificado en .NET y consta de un cuentagotas y una carga útil. Por sí solo, tiene una funcionalidad integrada limitada y sirve principalmente para ejecutar comandos o código adicionales desde la infraestructura C2 del Clúster B, de ahí el uso de un mecanismo confiable de comunicación como GitHub, que parece ser parte integral de su funcionamiento interno.
Pilling y la CTU han estado siguiendo el rastro de Cobalt Mirage durante algún tiempo, pero hasta hace poco habían estado trabajando en el entendimiento de que era una sola entidad, pero ahora están relativamente seguros de que opera dos grupos distintos: el Grupo A es el centrado en el ransomware. operación.
El clúster B, por otro lado, parece ser un poco más difícil de rastrear y favorece más herramientas personalizadas: el clúster A favorece BitLocker, una función legítima de cifrado de volumen completo que puede usarse con fines maliciosos, como el ransomware. Probablemente se centre más en la recopilación de información que en la extorsión.
Pilling dijo que el Clúster B llevó a cabo una actividad de “exploración y explotación amplia” contra rangos de direcciones IP en Israel y EE. .