Drokbk Malware Menggunakan GitHub sebagai Dead Drop Resolver

Sebuah sub kelompok dari kelompok ancaman COBALT MIRAGE Iran memanfaatkan Drokbk untuk kegigihan.

Peneliti Secureworks® Counter Threat Unit™ (CTU) sedang menyelidiki malware Drokbk, yang dioperasikan oleh subgrup Cluster B dari grup ancaman COBALT MIRAGE yang disponsori pemerintah Iran. Drokbk ditulis dalam .NET dan terdiri dari dropper dan payload. Malware memiliki fungsi bawaan yang terbatas dan terutama mengeksekusi perintah atau kode tambahan dari server perintah dan kontrol (C2). Tanda awal kemunculannya yaitu dalam intrusi Februari 2022 di jaringan pemerintah lokal AS. Sampel malware Drokbk tidak tersedia dari insiden tersebut untuk dianalisis, tetapi peneliti CTU™ menemukan sampel yang diunggah ke layanan analisis VirusTotal.

Intrusi Februari yang diselidiki oleh responden insiden Secureworks dimulai dengan kompromi server VMware Horizon menggunakan dua kerentanan Log4j (CVE-2021-44228 dan CVE-2021-45046). Artefak forensik menunjukkan Drokbk.exe diekstraksi dari arsip terkompresi (Drokbk.zip) yang dihosting di file transfer yang sah. sh layanan online. Aktor ancaman mengekstrak file ke C:\Users\DomainAdmin\Desktop\ dan kemudian menjalankannya.

Gambar 1 mengilustrasikan proses instalasi. Peneliti CTU telah mengamati bahwa operator Cluster B menyukai c:\users\public\ sebagai direktori yang digunakan di beberapa alat malware.

Gambar 1. Pohon proses untuk instalasi Drokbk

SessionService.exe adalah muatan malware utama, dan dimulai dengan menemukan domain C2-nya. Domain C2 sering kali dikonfigurasikan sebelumnya di malware. Namun, Drokbk menggunakan teknik dead drop resolver untuk menentukan server C2-nya dengan menghubungkan ke layanan resmi di internet (mis., GitHub). Informasi server C2 disimpan di layanan cloud di akun yang telah dikonfigurasi sebelumnya di malware atau yang dapat ditentukan lokasinya oleh malware.

Gambar 2. Kode yang digunakan untuk menemukan server C2 di dalam akun GitHub

Menggunakan informasi dari README.md, SessionService.exe mengirimkan permintaan awal ke server C2. Permintaan berisi nama host dan waktu saat ini (lihat Gambar 6).Selama eksekusi, peneliti CTU mengamati Drokbk membuat beberapa file. Tidak ada muatan atau perintah yang diterima dari C2 selama analisis.

Selengkapnya: Secureworks

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings