À l’image des techniques d’espionnage traditionnelles, Cluster B utilise Github comme "résolveur de dead drop". Le groupe rassemble les instructions de localisation serveurs de commande et contrôle, qu’il stocke ensuite dans un dépôt Github. Ces instructions sont ensuite recueillies par leur "agent" à l’intérieur - Drokbk - qui indique au logiciel malveillant à quel serveur s’adresser ensuite.

L’utilisation de Github permet aux attaquants d’échapper plus facilement à la détection, note Rafe Pilling, chercheur principal de Secureworks et responsable thématique de la recherche sur l’Iran : "L’utilisation de Github comme point mort virtuel permet aux logiciels malveillants de se fondre dans la masse. Tout le trafic vers Github est crypté, ce qui signifie que les technologies de défense ne peuvent pas voir ce qui est transmis dans les deux sens. Et comme Github est un service légitime, il soulève moins de questions."

Secureworks a constaté pour la première fois l’utilisation de Drokbk en février, lorsque ses intervenants ont enquêté sur une intrusion dans un réseau gouvernemental local aux États-Unis, qui a commencé par la compromission d’un serveur VMWare Horizon, en utilisant deux vulnérabilités Log4j. Le groupe mène une vaste activité de balayage et d’exploitation contre des plages d’adresses IP aux États-Unis et en Israël, mais il semble être opportuniste et s’en prend à une grande variété d’organisations, des services financiers aux entreprises liées à l’éducation. 

La CTU de Secureworks a suivi Cobalt Mirage pendant un certain temps en pensant qu’il s’agissait d’une seule entité. Une analyse plus approfondie montre que deux groupes distincts opèrent avec le groupe - le Cluster A et le Cluster B (décrit dans un précédent article sur notre blog : COBALT MIRAGE mène des opérations de ransomware aux États-Unis | Secureworks). Les deux groupes partagent certaines méthodes, et utilisent de façon mutualisée certains mots de passe et infrastructures. Cependant, le Cluster B dispose d’un ensemble distinct d’infrastructures et de TTPs qui le distinguent, tels que :

– Le Cluster B n’a pas déployé de ransomware bitlocker, comme l’a fait le Cluster A, semblant plus axé sur la collecte d’informations que sur le gain financier.

– Le Cluster B est plus difficile à attribuer, ce qui le rend plus mystérieux et plus difficile à suivre.

– Le Cluster B a déposé plus d’outils personnalisés que le groupe A, comme l’échantillon de malware Drokbk analysé sur le blog de Securework.

Pilling conclut : "Jusqu’à présent, Drokbk a gardé un profil bas et n’a pas été documenté dans l’Open Source ; il s’agit donc du premier regard vraiment approfondi sur la façon dont il fonctionne sous le capot. Drokbk fournit aux acteurs de la menace un accès distant arbitraire et un pied-à-terre supplémentaire aux côtés d’outils de tunnellisation comme Fast Reverse Proxy (FRP) et Ngrok. Nous conseillons aux organisations d’utiliser les contrôles disponibles pour examiner et restreindre l’accès aux adresses IP, domaines et URL associés à Drokbk - que nous avons listés dans notre blog."