Le sous-groupe d’un groupe d’États-nations iranien connu sous le nom de Chaton Némésis a été attribué comme étant à l’origine d’un logiciel malveillant personnalisé jusqu’alors non documenté appelé Drokbk qui utilise GitHub comme résolveur de dead drop pour exfiltrer les données d’un ordinateur infecté ou pour recevoir des commandes.
« L’utilisation de GitHub comme point mort virtuel aide les logiciels malveillants à s’intégrer », a déclaré le chercheur principal de Secureworks, Rafe Pilling. a dit. « Tout le trafic vers GitHub est crypté, ce qui signifie que les technologies défensives ne peuvent pas voir ce qui est transmis. Et parce que GitHub est un service légitime, il soulève moins de questions. »
Les activités malveillantes de l’acteur parrainé par le gouvernement iranien sont passées inaperçues plus tôt en février 2022, lorsqu’il a été observé en train d’exploiter les failles Log4Shell dans les serveurs VMware Horizon non corrigés pour déployer un rançongiciel.
Nemesis Kitten est suivi par la grande communauté de la cybersécurité sous divers noms tels que TunnelVision, Cobalt Mirage et UNC2448. C’est aussi un sous-cluster du groupe Phosphorus, Microsoft lui donnant la désignation DEV-0270.
On dit également qu’il partage des chevauchements tactiques avec un autre collectif adversaire surnommé Cobalt Illusion (alias APT42), un sous-groupe Phosphorus « chargé de mener des opérations de collecte d’informations et de surveillance contre des individus et des organisations d’intérêt stratégique pour le gouvernement iranien ».
Des enquêtes ultérieures sur les opérations de l’adversaire ont révélé deux ensembles d’intrusions distincts : le cluster A, qui utilise BitLocker et DiskCryptor pour mener des attaques de rançongiciels opportunistes à des fins financières, et le cluster B, qui effectue des effractions ciblées pour la collecte de renseignements.
Microsoft, Google Mandiant et Secureworks ont depuis découvert des preuves retraçant les origines de Cobalt Mirage à deux sociétés écrans iraniennes Najee Technology et Afkar System qui, selon le département du Trésor américain, sont affiliées au Corps des gardiens de la révolution islamique (CGRI).
Drokbk, le logiciel malveillant nouvellement identifié, est associé au cluster B et est écrit en .NET. Déployé après l’exploitation comme une forme d’établissement de la persistance, il se compose d’un dropper et d’une charge utile utilisée pour exécuter les commandes reçues d’un serveur distant.
« Les premiers signes de son utilisation dans la nature sont apparus lors d’une intrusion en février 2022 dans un réseau de gouvernement local américain », a déclaré la société de cybersécurité dans un rapport partagé avec The Hacker News.
Cette attaque a entraîné la compromission d’un serveur VMware Horizon utilisant les vulnérabilités Log4j (CVE-2021-44228 et CVE-2021-45046), conduisant finalement à la livraison du binaire Drokbk au moyen d’une archive ZIP compressée hébergée sur un service de transfert de fichiers .
Comme mesure d’évasion de la détection, Drokbk utilise une technique appelée résolveur de chute morte pour déterminer son serveur de commande et de contrôle (C2). Le résolveur Dead Drop fait référence à l’utilisation d’un service Web externe légitime pour héberger des informations qui pointent vers une infrastructure C2 supplémentaire.
Dans ce cas, cela est réalisé en tirant parti d’un référentiel GitHub contrôlé par un acteur qui héberge les informations dans le Fichier LISEZMOI.md.
« Drokbk fournit aux acteurs de la menace un accès à distance arbitraire et un pied supplémentaire aux côtés d’outils de tunnellisation tels que Fast Reverse Proxy (FRP) et Ngrok », a déclaré Pilling.
