伊朗黑客组织COBALTMIRAGE的B组使用.NET编写恶意软件Drokbk,由Dropper和Payload组成。该恶意软件的内置功能有限,主要执行来自C&C服务器的命令。该恶意软件是美国政府于2022年2月在一次对地方政府网络的入侵攻击中发现的,随后在VirusTotal上发现了该样本。组织关系Drokbk恶意软件作为在受感染主机中的一种附加持久化方法,通常与其他恶意软件一起使用。COBALTMIRAGE首选的远程控制方式仍然是FRPC。COBALTMIRAGE的团队A对FRPC进行了自定义修改,称为TunnelFish。但COBALTMIRAGE的B团队仍然更喜欢使用未修改的版本。在2022年3月显示B组行为的分析中,还提到了Drokbk.exe。而攻击者使用的C&C域activate-microsoft.cf也与B组有关。当分析师在2月份调查使用Log4j漏洞(CVE-2021-44228和CVE-2021-45046)来破坏VMwareHorizo??n服务器时,他们发现Drokbk.exe是从从合法服务下载的压缩文件Drokbk.zip中删除的。攻击者将其放置在C:\Users\DomainAdmin\Desktop\中并执行。DrokbkProcessTreeDrokbkDropper检查C:\programdata\SoftwareDistribution目录是否存在,如果不存在则创建它。dropper然后将资源部分中的所有数据写入c:\users\public\pla。接下来,程序将其复制到c:\programdata\SoftwareDistribution\SessionService.exe。使用此文件,Dropper添加名为SessionManagerService的服务以实现持久性。最后,Dropper删除了c:\users\public\pla文件尾声。整体流程如上图。B组攻击者喜欢将c:\users\public\作为恶意软件使用的常用目录。SessionService.exe是主要的payload,其C&C通信的域名内置于其中。但Drokbk仍然会连接到互联网上的合法服务(如GitHub)以获取C&C服务器地址。C&C服务器信息存储在云服务上的一个帐户中,该帐户也嵌入到恶意软件中。反编译代码SessionService.exe的反编译代码如上所示,示例通过GitHubAPI搜索名为mainrepositorytogeta的存储库。如下图,GitHub对应仓库的README.md文件记录了C&C服务器的信息。攻击者使用的GitHub帐户名为Shinault23。通过GitHub获取C&C信息为攻击者提供了更大的灵活性。当账户被禁用后,攻击者可以使用其他账户创建同名仓库,也可以通过重复这个过程更新C&C服务器信息。README.md文件于2022年6月9日首次提交,6月9日至7月13日期间,攻击者多次修改C&C服务器地址。如下图:commit提交记录下图列出了6月9日到7月13日配置的C&C服务器。这些域名和URL的结构类似于之前发现的B组攻击基础设施。.发起请求Drokbk创建了以下文件,但在分析期间未能接收到有效命令。C:\Windows\Temp\v2gglaC:\Windows\Temp\vdoma434C:\programdata\Interop服务
