هدفگیری آمریکا با جاسوسافزار Drokbk توسط گروه ایرانی از طریق GitHub
اخبار داغ فناوری اطلاعات و امنیت شبکه
بنا بر ادعای خبرگزاری دارکریدینگ، بدافزار سفارشی مورد استفاده توسط گروه تهدید ایرانی تحت حمایت دولت Drokbk تا کنون با استفاده از GitHub بهعنوان "dead-drop resolver" برای فرار آسانتر از هرگونه شناسایی، به فعالیت خود ادامه داده است.
یک زیرگروه از عامل تهدید ایرانی تحت حمایت دولت، Cobalt Mirage، از بدافزار سفارشی جدیدی به نام «Drokbk» برای حمله به سازمانهای مختلف ایالات متحده استفاده میکند و از GitHub بهعنوان «dead-drop resolver» استفاده میکند.
به گفته MITRE، استفاده از ریزولورهای dead-drop به مهاجمانی اشاره دارد که محتوایی را در سرویسهای وب قانونی با دامنههای مخرب یا آدرسهای IP جاسازیشده ارسال میکنند تا تمایلات مخرب خود را پنهان کنند.
در این مورد، Drokbk از تکنیک Dead-Drop Resolver برای یافتن سرور command-and-control (C2) خود با اتصال به GitHub استفاده میکند.
این گزارش خاطرنشان کرد : «اطلاعات سرور C2 در یک سرویس ابری در حسابی ذخیره میشود که یا از قبل در بدافزار پیکربندی شده است یا میتواند بهطور قطعی توسط بدافزار شناسایی شود».
بدافزار Drokbk با داتنت نوشته شده و از یک dropper و یک payload تشکیل شده است.
معمولا برای نصب یک shell وب بر روی یک سرور در معرض خطر استفاده میشود و پس از آن ابزارهای اضافی بهعنوان بخشی از فاز توسعه جانبی مستقر میشوند.
بر اساس گزارش واحد مقابله با تهدید Secureworks (CTU)، بدافزار Drokbk در ماه فوریه پس از نفوذ به یک شبکه دولت محلی ایالات متحده ظاهر شد. این حمله با به خطر انداختن سرور VMware Horizon با استفاده از دو آسیبپذیری Log4j (CVE-2021-44228 و CVE-2021-45046) آغاز شد.
راف پیلینگ، محقق اصلی Secureworks و سرپرست تحقیقات ایران، میگوید : "مشاهده شده است که این گروه فعالیتهای اسکن و بهرهبرداری گستردهای را علیه ایالات متحده و اسرائیل انجام میدهد، بنابراین از این نظر، هر سازمانی که سیستمهای آسیبپذیر در اطراف خود دارد، جز اهداف بالقوه این حملات است. "
او توضیح میدهد که Drokbk در کنار ابزارهای تونلینگ مانند پروکسی معکوس سریع یا Fast Reverse Proxy (FRP) و Ngrok، دسترسی از راه دور دلخواه و یک محل استقرار اضافی را برای عوامل تهدید فراهم میکند؛ و از سویی همچنین یک بدافزار نسبتا ناشناخته است.
او میافزاید : «ممکن است سازمانهایی وجود داشته باشند که در حال حاضر در شبکههایشان این کار را انجام میدهند و شناسایی نشدهاند».
خوشبختانه، استفاده از GitHub بهعنوان یک ریسولور dead-drop، تکنیکی است که مدافعان سایبری میتوانند در شبکههای خود بهدنبال آن باشند.
پیلینگ خاطرنشان میکند : "مدافعان سایبری ممکن است نتوانند جریانهای ترافیک رمزگذاری شده با TLS را مشاهده کنند، اما میتوانند URLهایی را که درخواست میشود ببینند و بهدنبال اتصالات غیرمعمول یا غیرمنتظره به APIهای GitHub از سیستمهای خود باشند. "
تکنیک Dead-Drop Resolver انعطافپذیری را ارائه میدهد
تکنیک Dead-Drop Resolver تا حدی انعطافپذیری را برای اپراتورهای بدافزار فراهم میکند و به آنها اجازه میدهد زیرساخت C2 خود را بروزرسانی کنند و همچنان اتصال با بدافزار خود را حفظ کنند.
پیلینگ در ادامه میگوید : "همچنین با استفاده از یک سرویس قانونی به بدافزار کمک میکند تا با هم ترکیب شود. "
پچ قوی، استراتژی دفاعی حیاتی
پیلینگ به سازمانها توصیه میکند، با توجه به این که آسیبپذیریهای معروف و محبوبی مانند ProxyShell و Log4Shell مورد علاقه این گروه قرارگرفتهاند، سیستمهای متصل بخ اینترنت را پچ کنند.
وی میگوید : «به طور کلی، این گروه و سایرین بهسرعت آخرین آسیبپذیریهای شبکه را که کد بهرهبرداری قابل اعتمادی دارند، هضم میکنند، بنابراین داشتن این فرآیند پچ قوی، امری کلیدی است».
او همچنین به سازمانها توصیه میکند که از طریق تلهمتری امنیتی شاخصهای ارائهشده در گزارش را برای شناسایی نفوذ کبالت میراژ (Cobalt Mirage)، اطمینان از استقرار راهحل آنتیویروس بهطور گسترده و بهروز، و استقرار راهحلهای EDR و XDR برای ارائه دید جامع در سراسر شبکهها و سیستمهای ابری، جستجو و بررسی کنند.
گروههای تهدید تحت حمایت ایران در حال توسعه، حملات در حال افزایش
همچنین CTU خاطرنشان کرد که به نظر میرسد کبالت میراژ دارای دو گروه مجزا در داخل سازمان است که Secureworks آنها را Cluster A و Cluster B نامگذاری کرده است.
پیلینگ توضیح میدهد : "شباهت اولیه در ساختار تجاری منجر به ایجاد یک گروه واحد شد، اما با گذشت زمان و تعاملهای متعدد در واکنش به حادثه، متوجه شدیم که دو کلاستر متمایز در فعالیتها را داریم. "
در ادامه، انتظار میرود که گروههای مستقر علیه اهداف همسو با منافع اطلاعاتی ایران، چه خارجی و چه داخلی، به عملیات خود ادامه دهند. او میافزاید که افزایش استفاده از شخصیتهای هکری و سایبری بهعنوان پوششی برای عملیاتهای متمرکز اطلاعاتی و مخرب نیز استفاده خواهد شد.
او در ادامه توضیح میدهد : «ایمیل و فیشینگ مبتنی بر رسانههای اجتماعی روشهای ترجیحی هستند و ممکن است شاهد پیشرفتهای تدریجی در پیچیدگی اینگونه عملیاتها و حملات باشیم».
در توصیهنامه مشترکی که در ١٧ نوامبر صادر شد، آژانسهای امنیت سایبری در ایالات متحده، بریتانیا و استرالیا هشدار دادند که حملات گروههای مرتبط با ایران در حال افزایش است. کبالت میراژ با قدرت و بهتنهایی به فعالیت خود ادامه میدهد.
طی دو سال گذشته شاهد ظهور شخصیتهای گروهی متعددی بودهایم (عصای موسی یا Moses's Staff، تبر ابراهیم یا Abraham's Ax، هکرهای نجاتدهنده یا Hackers of Savior، عدالت میهن یا Homeland Justice، صرفا برای نام بردن از برخی از آنها) عمدتا اسرائیل را هدف قرار دادهاند، اما اخیرا آلبانی و عربستان سعودی، قربانی حملات هک و نشت، همراه با عملیات اطلاعاتی شدهاند.
وزارت خزانهداری ایالات متحده قبلا اقدام به تحریم دولت ایران به بهانه و ادعای فعالیتهای جرایم سایبری کرده است، این وزارتخانه ادعا میکند که این اقدامات بهصورت سیستماتیک علیه اهداف ایالات متحده از طریق طیف وسیعی از گروههای تهدید مداوم پیشرفته (APT) انجام شده است.
برچسب ها: تهدید مداوم پیشرفته, Hack and Leak, هک و نشت, عدالت میهن, Hackers of Savior, هکرهای نجاتدهنده, Abraham's Ax, تبر ابراهیم, عصای موسی, Moses's Staff, Cluster B, Cluster A, EDR, dead-drop, FRP, Fast Reverse Proxy, CVE-2021-45046, dead-drop resolver, Drokbk, HomeLand Justice, Cobalt Mirage, کبالت میراژ, Spyware, CVE-2021-44228, XDR, Ngrok, VMware Horizon, Log4j, Log4Shell, جاسوسافزار, آمریکا, advanced persistent threat, تونلینگ, ProxyShell, Web Shell, API, Iran, Dropper, Tunneling, APT, TLS, ایران, Github, israel, گیت هاب, phishing, malware, گروههای APT ایرانی, وزارت امنیت داخلی آمریکا, دفاع سایبری, اسراییل, Cyber Security, فیشینگ, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news