- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 7ч 36м
- Сделки
- 251
- Нарушения
- 0 / 0
Dead Drop Resolver – техника атаки, в ходе которой злоумышленники размещают на легитимных веб-сервисах контент со встроенными вредоносными доменами или IP-адресами, пытаясь скрыть свои намерения. Вредоносный код не содержит адрес C&C-сервера — вместо этого программа обращается к посту, опубликованному в публичном сервисе, и считывает из него строку символов, которые на первый взгляд кажутся бессмысленными. На самом деле это зашифрованная информация, которая служит для активации следующего этапа атаки.
Вредоносная программа Drokbk написана на .NET и состоит из дроппера и полезной нагрузки. Она используется для установки веб-оболочки на скомпрометированный сервер, после чего в ходе бокового перемещения развертываются дополнительные инструменты.
По словам исследователей Secureworks Counter Threat Unit (CTU), Drokbk предоставляет хакерам удаленный доступ и дополнительный вектор атаки, наряду с инструментами туннелирования Fast Reverse Proxy (FRP) и Ngrok. Более того, Drokbk малоизучен и может незаметно находиться в сетях компаний прямо сейчас.
CTU советует организациям применять следующие меры защиты:
- исправлять системы с выходом в Интернет, поскольку Cobalt Mirage эксплуатирует известные уязвимости ProxyShell и Log4Shell;
- искать индикаторы компрометации (IOC), чтобы обнаружить возможное вторжение хакеров;
- поддерживать актуальность антивирусного ПО;
- развертывать EDR- и XDR-решения для обеспечения полного мониторинга сетей и облачных систем.
