olarak bilinen bir İran ulus-devlet grubunun alt grubu. Nemesis Yavru Kedi adlı daha önce belgelenmemiş özel bir kötü amaçlı yazılımın arkasında olduğu belirtildi. Drokbk GitHub’ı, virüs bulaşmış bir bilgisayardan veri sızdırmak veya komutları almak için ölü bırakma çözümleyicisi olarak kullanır.
Secureworks baş araştırmacısı Rafe Pilling, “GitHub’ın sanal bir güvenlik açığı olarak kullanılması, kötü amaçlı yazılımın ortama karışmasına yardımcı oluyor.” söz konusu. “GitHub’a giden tüm trafik şifrelenmiştir, yani savunma teknolojileri ileri geri aktarılanları göremez. Ve GitHub yasal bir hizmet olduğu için daha az soru soruyor.”
İran hükümeti destekli aktörün kötü niyetli faaliyetleri, fidye yazılımı dağıtmak için yama uygulanmamış VMware Horizon sunucularındaki Log4Shell kusurlarından yararlandığı gözlemlendiğinde, Şubat 2022’nin başlarında radarın altına girdi.
Nemesis Yavru Kedi izlenen TunnelVision, Cobalt Mirage ve UNC2448 gibi çeşitli isimler altında daha büyük siber güvenlik topluluğu tarafından. Aynı zamanda Fosfor grubunun bir alt kümesidir ve Microsoft ona DEV-0270 adını verir.
Ayrıca, “İran hükümetinin stratejik çıkarları olan kişi ve kuruluşlara karşı bilgi toplama ve gözetleme operasyonları yürütmekle görevli” bir Fosfor alt grubu olan Cobalt Illusion (APT42 olarak da bilinir) adlı başka bir düşman kolektifle taktiksel örtüşmeleri paylaştığı söyleniyor.
Düşmanın operasyonlarına yönelik müteakip araştırmalar iki farklı saldırı setini ortaya çıkardı: Mali kazanç için fırsatçı fidye yazılımı saldırıları gerçekleştirmek üzere BitLocker ve DiskCryptor kullanan A Kümesi ve istihbarat toplamak için hedefli izinsiz girişler gerçekleştiren B Kümesi.
Microsoft, Google Mandiant ve Secureworks, o zamandan beri Cobalt Mirage’ın kökeninin, ABD Hazine Bakanlığı’na göre İslam Devrim Muhafızları Birliği’ne (IRGC) bağlı iki İran paravan şirketi Najee Technology ve Afkar System’a kadar izini süren kanıtlar ortaya çıkardı.
Yeni tanımlanan kötü amaçlı yazılım olan Drokbk, Küme B ile ilişkilidir ve .NET’te yazılmıştır. Kalıcılık oluşturmanın bir biçimi olarak kullanım sonrası dağıtılan bu sistem, bir uzak sunucudan alınan komutları yürütmek için kullanılan bir damlalık ve bir yükten oluşur.
Siber güvenlik şirketi, The Hacker News ile paylaştığı bir raporda, “Vahşi ortamda kullanımının ilk belirtileri, Şubat 2022’de bir ABD yerel yönetim ağına izinsiz girişte ortaya çıktı.”
Bu saldırı, Log4j güvenlik açıklarını (CVE-2021-44228 ve CVE-2021-45046) kullanan bir VMware Horizon sunucusunun ele geçirilmesini gerektirdi ve sonuçta bir dosya aktarım hizmetinde barındırılan sıkıştırılmış bir ZIP arşivi aracılığıyla Drokbk ikili dosyasının teslim edilmesine yol açtı. .
Tespitten kaçınma önlemi olarak Drokbk, adı verilen bir teknik kullanır. ölü damla çözümleyici komuta ve kontrol (C2) sunucusunu belirlemek için. gizli taktik atıfta ek C2 altyapısına işaret eden bilgileri barındırmak için mevcut, meşru bir harici web hizmetinin kullanımına.
Secureworks tarafından gözlemlenen saldırı zincirinde bu, C2 sunucu bilgilerini içeren, aktör tarafından kontrol edilen bir GitHub deposundan yararlanılarak elde edilir. README.md dosyası.
Pilling, “Drokbk, tehdit aktörlerine keyfi uzaktan erişim ve Fast Reverse Proxy (FRP) ve Ngrok gibi tünel açma araçlarının yanı sıra ek dayanak noktası sağlıyor” dedi.