研究人员发现了新的Drokbk恶意软件，该软件使用GitHub作为死点解决程序

伊朗民族国家集团的子集团，称为复仇小猫被认为是之前未记录的自定义恶意软件的幕后黑手Drokbk公司它使用GitHub作为死点解析器，从受感染的计算机中过滤数据或接收命令。

Secureworks首席研究员Rafe Pilling表示：“使用GitHub作为虚拟死点有助于恶意软件的融合”。“所有到GitHub的流量都是加密的，这意味着防御技术看不到来回传递的内容。而且由于GitHub是合法的服务，因此它提出的问题更少”。

2022年2月早些时候，这名伊朗政府资助的行为人的恶意活动被曝光，当时有人发现他利用未修补的VMware Horizon服务器中的Log4Shell漏洞部署勒索软件。

Nemesis Kitten被更大的网络安全社区以各种名称追踪，如TunnelVision、Cobalt Mirage和UNC2448。它也是磷族的一个子集群，微软将其命名为DEV-0270。

据称，它还与另一个名为Cobalt Illusion（又名APT42）的敌对团体共享战术重叠，这是一个磷小组，“负责对伊朗政府具有战略利益的个人和组织进行信息收集和监视行动”。

随后对对手的行动进行的调查发现了两个不同的入侵集：集群A，它使用BitLocker和DiskCryptor进行机会勒索软件攻击以获取经济利益；集群B，它进行有针对性的入侵以收集情报。

自那以后，微软（Microsoft）、谷歌（Google Mandiant）和Secureworks已经发掘出证据，证明Cobalt Mirage起源于伊朗两家幌子公司Najee Technology和Afkar System，据美国财政部称，这两家公司隶属于伊斯兰革命卫队（IRGC）。

Drokbk是一种新发现的恶意软件，与群集B相关，用.NET编写。作为建立持久性的一种形式，它在利用后部署，由一个滴管和一个用于执行从远程服务器接收的命令的有效负载组成。

这家网络安全公司在与《黑客新闻》分享的一份报告中表示：“2022年2月，美国一家地方政府网络遭到入侵，显示出其在野外使用的早期迹象”。

该攻击导致VMware Horizon服务器使用Log4j漏洞（CVE-221-44228和CVE-22-45046）受损，最终导致通过文件传输服务上托管的压缩ZIP存档交付Drokbk二进制文件。

作为一种检测规避措施，Drokbk采用了一种称为死点解析器的技术来确定其命令和控制（C2）服务器。隐蔽战术是指使用现有的合法外部web服务来托管指向额外C2基础设施的信息。

在Secureworks观察到的攻击链中，这是通过利用由参与者控制的GitHub存储库实现的，该存储库包含README.md文件中的C2服务器信息。

皮林说：“Drokbk为威胁行为者提供了任意远程访问和额外的立足点，以及快速反向代理（FRP）和Ngrok等隧道工具”。