Иранская группировка оставляет «закладки» в GitHub

Cobalt Mirage SecureWorks Log4Shell Drokb Dead Drop Resolver .NET Fast Reverse Proxy Ngrok ProxyShell индикаторы компрометации боковое перемещение
Иранская группировка оставляет «закладки» в GitHub
Cobalt Mirage SecureWorks Log4Shell Drokb Dead Drop Resolver .NET Fast Reverse Proxy Ngrok ProxyShell индикаторы компрометации боковое перемещение

Хакеры прячут в легитимных сервисах вредоносный код неизвестной программы.

image

Группировка Cobalt Mirage, связанная с правительством Ирана, использует новое вредоносное ПО Drokb для атак на различные организации США, используя GitHub в качестве тайника Dead Drop.

Dead Drop Resolver – техника атаки, в ходе которой злоумышленники размещают на легитимных веб-сервисах контент со встроенными вредоносными доменами или IP-адресами, пытаясь скрыть свои намерения. Вредоносный код не содержит адрес C&C-сервера — вместо этого программа обращается к посту, опубликованному в публичном сервисе, и считывает из него строку символов, которые на первый взгляд кажутся бессмысленными. На самом деле это зашифрованная информация, которая служит для активации следующего этапа атаки.

Вредоносная программа Drokbk написана на .NET и состоит из дроппера и полезной нагрузки. Она используется для установки веб-оболочки на скомпрометированный сервер, после чего в ходе бокового перемещения развертываются дополнительные инструменты.

По словам исследователей Secureworks Counter Threat Unit (CTU), Drokbk предоставляет хакерам удаленный доступ и дополнительный вектор атаки, наряду с инструментами туннелирования Fast Reverse Proxy (FRP) и Ngrok. Более того, Drokbk малоизучен и может незаметно находиться в сетях компаний прямо сейчас.

CTU советует организациям применять следующие меры защиты:

  • исправлять системы с выходом в Интернет, поскольку Cobalt Mirage эксплуатирует известные уязвимости ProxyShell и Log4Shell;
  • искать индикаторы компрометации (IOC) , чтобы обнаружить возможное вторжение хакеров;
  • поддерживать актуальность антивирусного ПО;
  • развертывать EDR- и XDR-решения для обеспечения полного мониторинга сетей и облачных систем.

Аналитики Secureworks уже сталкивались с атаками Cobalt Mirage , нацеленными на организации в Израиле, США, Европе и Австралии. Тогда специалисты отметили, что Cobalt Mirage создала 2 совершенно разных набора атак для вторжения в системы. Первый набор атак содержит в себе вымогательское ПО и легитимные инструменты – BitLocker и DiskCryptor, а его основной целью является получение выкупа. Второй набор атак используется для похищения конфиденциальных данных.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Новости по теме

Скрытая угроза в коде: Lazarus Group маскирует вредоносное ПО через языки, безопасные для памяти

Lumma Stealer продолжает своё шествие по YouTube: любители халявы массово теряют данные

Уязвимость Microsoft Office становится временной бомбой в руках киберпреступников

Кэширование на сверхзвуковых скоростях: Microsoft представила Garnet

AsyncRAT в ASP.NET: как хакеры в два клика обходят антивирусную защиту и тайно собирают пароли

Исследователи Cisco Talos обнаружили ключ дешифровки для вымогателя «Тортилья»

Фишинг на грани: фейковое обновление Adobe Flash Player служит каналом распространения MrAnon Stealer

Никакого фишинга: итальянские хакеры заражают местные организации весьма старомодным способом

Возвращение FritzFrog: как ботнет использует Log4Shell для создания армии серверов-зомби