Новости Иранская группировка оставляет «закладки» в GitHub

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022

Хакеры прячут в легитимных сервисах вредоносный код неизвестной программы.​


0lecmy1nhdlfn33itgides2ymyz6z02y.png


Группировка Cobalt Mirage, связанная с правительством Ирана, использует новое вредоносное ПО Drokb для атак на различные организации США, используя GitHub в качестве тайника Dead Drop.

Для просмотра ссылки Войди или Зарегистрируйся – техника атаки, в ходе которой злоумышленники размещают на легитимных веб-сервисах контент со встроенными вредоносными доменами или IP-адресами, пытаясь скрыть свои намерения. Вредоносный код не содержит адрес C&C-сервера — вместо этого программа обращается к посту, опубликованному в публичном сервисе, и считывает из него строку символов, которые на первый взгляд кажутся бессмысленными. На самом деле это зашифрованная информация, которая служит для активации следующего этапа атаки.

Вредоносная программа Drokbk написана на .NET и состоит из дроппера и полезной нагрузки. Она используется для установки веб-оболочки на скомпрометированный сервер, после чего в ходе бокового перемещения развертываются дополнительные инструменты.

По Для просмотра ссылки Войди или Зарегистрируйся Secureworks Counter Threat Unit (CTU), Drokbk предоставляет хакерам удаленный доступ и дополнительный вектор атаки, наряду с инструментами туннелирования Fast Reverse Proxy (FRP) и Ngrok. Более того, Drokbk малоизучен и может незаметно находиться в сетях компаний прямо сейчас.

CTU советует организациям применять следующие меры защиты:

  • исправлять системы с выходом в Интернет, поскольку Cobalt Mirage эксплуатирует известные уязвимости Для просмотра ссылки Войди или Зарегистрируйся и Log4Shell;
  • искать Для просмотра ссылки Войди или Зарегистрируйся , чтобы обнаружить возможное вторжение хакеров;
  • поддерживать актуальность антивирусного ПО;
  • развертывать EDR- и XDR-решения для обеспечения полного мониторинга сетей и облачных систем.

Аналитики Secureworks Для просмотра ссылки Войди или Зарегистрируйся , нацеленными на организации в Израиле, США, Европе и Австралии. Тогда специалисты отметили, что Cobalt Mirage создала 2 совершенно разных набора атак для вторжения в системы. Первый набор атак содержит в себе вымогательское ПО и легитимные инструменты – BitLocker и DiskCryptor, а его основной целью является получение выкупа. Второй набор атак используется для похищения конфиденциальных данных.
 
Источник новости
https://www.securitylab.ru/news/535224.php

Похожие темы