Даследчыкі выявілі, што ўразлівасці Log4j цяпер выкарыстоўваюцца для разгортвання маякоў Cobalt Strike праз інструмент каманднага радка Windows Defender.
Даследчыкі кібербяспекі з Sentinel Labs нядаўна заўважылі новы метад, выкарыстаны невядомым суб'ектам пагрозы, фінальнай кропкай якога стала разгортванне праграмы-вымагальніка LockBit 3.0.
Гэта працуе наступным чынам: удзельнік пагрозы будзе выкарыстоўваць log4shell (як называюць Log4j zero-day), каб атрымаць доступ да мэтавай канчатковай кропкі і атрымаць неабходныя прывілеі карыстальніка. Калі гэта будзе ліквідавана, яны будуць выкарыстоўваць PowerShell для загрузкі трох асобных файлаў: файла ўтыліты Windows CL (чысты), файла DLL (mpclient.dll) і файла LOG (фактычны маяк Cobalt Strike).
Cobalt Strike з бакавой загрузкай
Затым яны запускаюць MpCmdRun.exe, утыліту каманднага радка, якая выконвае розныя задачы для Microsoft Defender. Гэтая праграма звычайна загружае законны файл DLL - mpclient.dll, які неабходны для правільнай працы. Але ў гэтым выпадку праграма загрузіць аднайменную шкоднасную DLL, спампаваную разам з праграмай.
Папулярны ў цяперашні час
Гэтая DLL будзе мець загрузку файла LOG і расшыфраваць зашыфраваную карысную нагрузку Cobalt Strike.
Гэта метад, вядомы як бакавая загрузка.
Звычайна гэты філіял LockBit выкарыстоўваў інструменты каманднага радка VMware для бакавой загрузкі маякоў Cobalt Strike, BleepingComputer кажа, таму пераход на Windows Defender некалькі незвычайны. Выданне мяркуе, што змяненне было ўнесена, каб абыйсці мэтанакіраваныя сродкі абароны, якія нядаўна прадставіла VMware. Тым не менш, выкарыстанне інструментаў для жыцця па-за межамі зямлі, каб пазбегнуць выяўлення антывірусам (адкрываецца ў новай укладцы) або шкоднасныя праграмы (адкрываецца ў новай укладцы) Паслугі абароны з'яўляюцца «надзвычай часта» ў нашы дні, заключае выданне, заклікаючы прадпрыемствы праверыць свае сродкі кантролю бяспекі і быць пільнымі, адсочваючы, як (злоўжываюць) выкарыстоўваюцца законныя выкананыя файлы.
Нягледзячы на тое, што Cobalt Strike з'яўляецца законным інструментам, які выкарыстоўваецца для тэставання на пранікненне, ён стаў даволі сумна вядомым, бо паўсюль ім злоўжываюць пагрозы. Ён пастаўляецца з шырокім спісам функцый, якія кіберзлачынцы могуць выкарыстоўваць, каб выявіць мэтавую сетку, незаўважанымі, і перамяшчацца праз канечныя кропкі, калі яны рыхтуюцца да крадзяжу даных і разгортвання праграм-вымагальнікаў.
Via: BleepingComputer (адкрываецца ў новай укладцы)