El subgrupo de un grupo de estado-naci\u00f3n iran\u00ed conocido como Gatito n\u00e9mesis<\/strong> ha sido atribuido como detr\u00e1s de un malware personalizado previamente no documentado denominado Drokbk<\/b> que usa GitHub como un resolutor de punto muerto para filtrar datos de una computadora infectada o para recibir comandos.<\/p>\n “El uso de GitHub como punto muerto virtual ayuda a que el malware se mezcle”, dijo el investigador principal de Secureworks, Rafe Pilling. dijo<\/a>. “Todo el tr\u00e1fico a GitHub est\u00e1 encriptado, lo que significa que las tecnolog\u00edas defensivas no pueden ver lo que se pasa de un lado a otro. Y debido a que GitHub es un servicio leg\u00edtimo, plantea menos preguntas”.<\/p>\n Las actividades maliciosas del actor patrocinado por el gobierno iran\u00ed pasaron desapercibidas a principios de febrero de 2022, cuando se observ\u00f3 que explotaba las fallas de Log4Shell en servidores VMware Horizon sin parches para implementar ransomware.<\/p>\n Gatito N\u00e9mesis es rastreado<\/a> por la comunidad de seguridad cibern\u00e9tica m\u00e1s grande bajo varios nombres como TunnelVision, Cobalt Mirage y UNC2448. Tambi\u00e9n es un subgrupo del grupo Phosphorus, con Microsoft d\u00e1ndole la designaci\u00f3n DEV-0270.<\/p>\n Tambi\u00e9n se dice que comparte superposiciones t\u00e1cticas con otro colectivo adversario denominado Cobalt Illusion (tambi\u00e9n conocido como APT42), un subgrupo de Phosphorus que “tiene la tarea de realizar operaciones de vigilancia y recopilaci\u00f3n de informaci\u00f3n contra personas y organizaciones de inter\u00e9s estrat\u00e9gico para el gobierno iran\u00ed”.<\/p>\n Investigaciones posteriores sobre las operaciones del adversario han descubierto dos conjuntos de intrusi\u00f3n distintos: el Grupo A, que emplea BitLocker y DiskCryptor para realizar ataques de ransomware oportunistas para obtener ganancias financieras, y el Grupo B, que lleva a cabo robos dirigidos para recopilar inteligencia.<\/p>\n Desde entonces, Microsoft, Google Mandiant y Secureworks han descubierto pruebas que rastrean los or\u00edgenes de Cobalt Mirage hasta dos empresas fachada iran\u00edes, Najee Technology y Afkar System, que, seg\u00fan el Departamento del Tesoro de EE. UU., est\u00e1n afiliadas al Cuerpo de la Guardia Revolucionaria Isl\u00e1mica (IRGC).<\/p>\n Drokbk, el malware recientemente identificado, est\u00e1 asociado con el Cl\u00faster B y est\u00e1 escrito en .NET. Implementado despu\u00e9s de la explotaci\u00f3n como una forma de establecer la persistencia, consta de un cuentagotas y una carga \u00fatil que se usa para ejecutar los comandos recibidos de un servidor remoto.<\/p>\n \u201cLos primeros signos de su uso en la naturaleza aparecieron en una intrusi\u00f3n en febrero de 2022 en una red del gobierno local de EE. UU.\u201d, dijo la compa\u00f1\u00eda de ciberseguridad en un informe compartido con The Hacker News.<\/p>\n Este ataque implic\u00f3 el compromiso de un servidor VMware Horizon utilizando las vulnerabilidades Log4j (CVE-2021-44228 y CVE-2021-45046), lo que finalmente condujo a la entrega del binario Drokbk por medio de un archivo ZIP comprimido alojado en un servicio de transferencia de archivos. .<\/p>\n Como medida de evasi\u00f3n de detecci\u00f3n, Drokbk utiliza una t\u00e9cnica llamada resoluci\u00f3n de ca\u00edda muerta<\/a> para determinar su servidor de mando y control (C2). Dead drop resolver hace referencia al uso de un servicio web externo leg\u00edtimo para alojar informaci\u00f3n que apunta a una infraestructura C2 adicional.<\/p>\n En este caso, esto se logra aprovechando un repositorio de GitHub controlado por actores que aloja la informaci\u00f3n dentro del Archivo L\u00c9AME.md<\/a>.<\/p>\n “Drokbk proporciona a los actores de amenazas acceso remoto arbitrario y un punto de apoyo adicional junto con herramientas de tunelizaci\u00f3n como Fast Reverse Proxy (FRP) y Ngrok”, dijo Pilling.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Los-investigadores-detallan-la-vulnerabilidad-entre-inquilinos-de-AppSync-en.jpg\")
<\/a><\/center><\/div>\n