Secureworksはこのほど、「Drokbk Malware Uses GitHub as Dead Drop Resolver|Secureworks」において、イラン政府が支援するサイバー攻撃グループのサブグループが展開しているサイバー攻撃のキャンペーンについて伝えた。「COBALT MIRAGE」と呼ばれるイラン国家に関連した攻撃グループのサブグループである「Cluster B」が、「Drokbk」と呼ばれるマルウェアキャンペーンを展開していることが明らかとなった。
-
Drokbk Malware Uses GitHub as Dead Drop Resolver|Secureworks
Drokbkは.NETで記述されているドロッパーとペイロードで構成されたマルウェア。機能は限られており、主にコマンド&コントロール(C2: Command and Control)サーバからの追加コマンドやコードを実行することが知られており、2022年2月に米国の地方自治体のネットワークの侵入後に使われたことが確認されている。
この侵入では2つのLog4jの脆弱性「CVE-2021-44228」および「CVE-2021-45046」が悪用され、VMware Horizonサーバの侵害から始まったとされている。侵入後、ファイル共有サービス「Transfer.sh」からDrokbkの圧縮ファイル(Drokbk.zip)が転送され、実行されたことが判明している。
Drokbkのペイロードにデッドドロップリゾルバ(Dead Drop Resolver)と呼ばれる攻撃手法が用いられ、GitHubに接続してC&Cサーバを決めていたことがわかった。C&Cサーバの情報がGitHubアカウントでホストされているREADME.mdファイル内に格納され、脅威者がユーザー名「Shinault23」のGitHubアカウントを用いて取得していたと報告されている。
この攻撃手法により、脅威者は一致するリポジトリ名を持つ新たなアカウントを作成でき、GitHubアカウントの閉鎖に対してある程度の回復力を持つことができると分析されている。また、このプロセスを繰り返すことで、マルウェアはC&Cサーバを動的に更新することができると説明されている。
