İran APT’sinin GitHub deposunu C2 mekanizması olarak kullandığı görüldü

Cobalt Mirage olarak izlenen operasyonla ilişkili bir İranlı gelişmiş kalıcı tehdit (APT) grubu, açık kaynak merkezi tarafından barındırılan bir depoyu sözde ölü olarak kullanarak Drokbk olarak bilinen en son özel kötü amaçlı yazılımını çalıştırmanın bir yolu olarak GitHub’a döndü. komut ve kontrol (C2) talimatlarını iletmek için çözümleyiciyi bırakın.

Secureworks Karşı Tehdit Birimi (CTU) tarafından toplanan yeni istihbarata göre, muhtemelen Tahran’ın İslami Devrim Muhafızları Birliği’nin (IGRC) sponsorluğunda olan B Kümesi, C2 sunucu konumu talimatlarını paketlemeye ve bunları kullanılmak üzere bir GitHub deposunda saklamaya başladı. Drokbk kötü amaçlı yazılımı tarafından daha sonra kullanılmak üzere toplanır.

Teknik, ajanların sahadaki belgeleri, parayı ve diğer öğeleri gizli bir konum kullanarak birbirleriyle temas kurmadan ilettiği, ölü mektup bırakma olarak bilinen geleneksel bir spycraft unsurunu yansıtıyor.

Ian Fleming veya John Le Carré’nin kurgusunu anımsatsa da, ölü damla 21. yüzyılda bir kısa mesafeli iletişim biçimi olarak yaşıyor – 2012’de Birleşik Krallık, Rusya’yı hedef alan gözetleme ekipmanını gizlemek için sahte bir plastik kaya kullandığını kabul etmek zorunda kaldı. , elçilik personelinin düzenli olarak yanından geçip bilgi indirdiği. Muhbirleri araştırmacı gazetecilerle buluşturan SecureDrop açık kaynak projesinin altında da benzer bir konsept yatıyor.

Black Hat Europe’daki bulguları hakkında rapor veren Secureworks baş araştırmacısı ve İran odaklı araştırmanın tematik lideri Rafe Pilling, GitHub kullanmanın Drokbk kötü amaçlı yazılımının karışmasına yardımcı olarak B Kümesinin tespit edilmekten daha kolay kaçmasına olanak verdiğini söyledi.

“GitHub’a giden tüm trafik şifrelenmiştir, yani savunma teknolojileri ileri geri aktarılanları göremez,” dedi. “Ve Github meşru bir hizmet olduğu için daha az soru soruyor.”

Secureworks CTU ekibi, Küme B’nin Drokbk kullanımının, kendi olay müdahale ekiplerinin ABD’deki bir yerel hükümet kurumuna düzenlenen bir siber saldırının ardından ilk müdahaleyi yürütürken karşılaştığı Şubat 2022’ye kadar uzandığını söylüyor. Bu saldırının, bir VMware Horizon sunucusunun, Cobalt Mirage’ın tercih edilen bir modus operandi’si olan ve bugüne kadar hala başarılı bir şekilde istismar ettiği Log4j/Log4Shell güvenlik açığı aracılığıyla ele geçirilmesiyle başladığı tespit edildi.

Pilling, “Bugüne kadar, Drokbk düşük bir profil tuttu ve açık kaynakta belgelenmedi, bu yüzden bu, onun gizliden gizliye nasıl çalıştığına dair ilk gerçekten derinlemesine bakış” dedi.

“Drokbk, tehdit aktörlerine Hızlı Ters Proxy gibi tünel açma araçlarının yanı sıra keyfi uzaktan erişim ve ek dayanak noktası sağlıyor. [FRP] ve Ngrok. Kuruluşlara tavsiyemiz, blogumuzda listelediğimiz Drokbk ile ilişkili IP adreslerini, etki alanlarını ve URL’leri incelemek ve bunlara erişimi kısıtlamak için mevcut denetimleri kullanmalarıdır.”

Drokbk kötü amaçlı yazılımının kendisi .NET’te kodlanmıştır ve bir damlalık ve bir yükten oluşur. Tek başına sınırlı yerleşik işlevselliğe sahiptir ve temel olarak Küme B’nin C2 altyapısından ek komutlar veya kod yürütmeye hizmet eder, dolayısıyla kendi iç işleyişinin ayrılmaz bir parçası gibi görünen GitHub gibi güvenilir bir iletişim mekanizmasının kullanılmasıdır.

Pilling ve CTU bir süredir Cobalt Mirage’ın izini sürüyor, ancak yakın zamana kadar bunun tek bir varlık olduğu anlayışı üzerinde çalışıyorlardı, ancak artık iki ayrı kümeyi çalıştırdığından nispeten eminler – A Kümesi fidye yazılımı merkezlidir operasyon.

Öte yandan, B Kümesinin izlenmesi biraz daha zor gibi görünüyor ve daha fazla özel aracı tercih ediyor – A Kümesi, fidye yazılımı gibi kötü amaçlı amaçlara dönüştürülebilen meşru bir tam hacimli şifreleme özelliği olan BitLocker’ı tercih ediyor. Muhtemelen gasptan çok bilgi toplamaya odaklanmıştır.

Pilling, Küme B’nin İsrail ve ABD’deki IP adres aralıklarına karşı “geniş tarama ve kullanma” faaliyeti yürüttüğünü, ancak aynı zamanda eğitim kurumlarından finansal hizmet kuruluşlarına kadar çok çeşitli sektörlerdeki hedefleri vurarak fırsatçı bir temelde faaliyet gösterdiğini söyledi. .

Read Previous

CIISec, DCMS, A seviyesindeki öğrenciler için mesleki siber kursları finanse edecek

Read Next

Hükümet 490 milyon sterlinlik eğitim yatırımını açıkladı

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

İstanbul masöz -