.NETで記述されたマルウェア、デッドドロップリゾルバにGitHub悪用

Secureworksはこのほど、「Drokbk Malware Uses GitHub as Dead Drop Resolver｜Secureworks」において、イラン政府が支援するサイバー攻撃グループのサブグループが展開しているサイバー攻撃のキャンペーンについて伝えた。「COBALT MIRAGE」と呼ばれるイラン国家に関連した攻撃グループのサブグループである「Cluster B」が、「Drokbk」と呼ばれるマルウェアキャンペーンを展開していることが明らかとなった。

Drokbkは.NETで記述されているドロッパーとペイロードで構成されたマルウェア。機能は限られており、主にコマンド＆コントロール(C2: Command and Control)サーバからの追加コマンドやコードを実行することが知られており、2022年2月に米国の地方自治体のネットワークの侵入後に使われたことが確認されている。