Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Un malware utiliza GitHub como servidor de Comando y Control (C2) para evitar ser detectado


El malware bautizado como Drokbk, utiliza GitHub como medio para filtrar datos de un ordenador infectado o para ejecutar comandos. En la cadena de ataques se logra aprovechando un repositorio de GitHub controlado por actores que contiene la información del servidor C2 dentro del archivo README.md.

 



«El uso de GitHub como punto de entrega virtual ayuda al malware a pasar desapercibido».

«Todo el tráfico a GitHub está cifrado, lo que significa que las tecnologías defensivas no pueden ver lo que se está pasando durante la transmisión de los datos. Además de que GitHub es un servicio oficial lo cual plantea menos preguntas».

Afirmaciones de Rafe Pilling, investigador principal de Secureworks

Ante esta declaración la comunidad de ciberseguridad reaccionó siguiéndole la pista a Nemesis Kitten bajo diversos nombres, entre ellos TunnelVision, Cobalt Mirage y UNC2448, adicionalmente Microsoft le ha dado la designación DEV-0270.

Respecto a su funcionamiento este nuevo malware «Drokbk», está asociado al clúster B y está programado en .NET. Una vez desplegado encuentra forma de establecer la persistencia en el sistema, consta de un dropper y un payload que se utilizan para ejecutar comandos recibidos de un servidor remoto.



Otro detalle a destacar es que como medida de evasión de la detección, Drokbk emplea una técnica denominada dead drop resolver para determinar su servidor de comando y control (C2). Esta táctica encubierta se refiere al uso de un servicio web externo legítimo existente para alojar información que apunta a una infraestructura C2 adicional.

Según los primeros indicios descubiertos por Secureworks (una de las compañías investigando el malware), esto se consigue aprovechando un repositorio de GitHub controlado por un actor que contiene la información del servidor C2 en el archivo «README.md».

Para mitigar la exposición a Drokbk, los investigadores de la CTU (Secureworks® Counter Threat Unit) recomendaron que las empresas utilicen los controles disponibles para revisar y restringir el acceso utilizando los indicadores enumerados en el aviso, que ya está a disposición del público, publicado en el siguiente enlace


Fuentes:

https://unaaldia.hispasec.com/2022/12/descubierto-malware-utilizando-github-para-resolver-su-servidor-de-command-control.html

https://secureworks.com/blog/drokbk-malware-uses-github-as-dead-drop-resolver 


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.