Уязвимостите на Log4j сега се използват за внедряване на маяци на Cobalt Strike чрез инструмента за команден ред на Windows Defender, установиха изследователи.
Изследователи на киберсигурността от Sentinel Labs наскоро забелязаха нов метод, използван от неизвестна заплаха, като крайната цел е внедряването на рансъмуер LockBit 3.0.
Работи по следния начин: актьорът на заплахата ще използва log4shell (както се нарича Log4j zero-day), за да получи достъп до целева крайна точка и да получи необходимите потребителски привилегии. След като това бъде премахнато, те биха използвали PowerShell, за да изтеглят три отделни файла: помощен файл на Windows CL (чист), DLL файл (mpclient.dll) и LOG файл (действителният маяк на Cobalt Strike).
Cobalt Strike със странично зареждане
След това ще стартират MpCmdRun.exe, помощна програма от командния ред, която изпълнява различни задачи за Microsoft Defender. Тази програма обикновено зарежда легитимен DLL файл – mpclient.dll, който трябва да стартира правилно. Но в този случай програмата ще зареди злонамерен DLL със същото име, изтеглен заедно с програмата.
Този DLL ще има зареждане на LOG файла и ще дешифрира шифрован полезен товар Cobalt Strike.
Това е метод, известен като странично зареждане.
Обикновено този филиал на LockBit използва инструментите на командния ред на VMware за странично зареждане на маяци на Cobalt Strike, BleepingComputer казва, така че преминаването към Windows Defender е малко необичайно. Публикацията спекулира, че промяната е направена, за да се заобиколят целевите защити, които VMware въведе наскоро. И все пак, използването на инструменти за живеене извън земята, за да избегнете откриването от антивирусната програма (отваря се в нов раздел) или зловреден софтуер (отваря се в нов раздел) услугите за защита са „изключително често срещани“ в наши дни, заключава публикацията, призовавайки бизнеса да проверява своите контроли за сигурност и да бъде бдителен при проследяване на това как (злоупотребяват) се използват законни изпълними файлове.
Въпреки че Cobalt Strike е легитимен инструмент, използван за тестове за проникване, той стана доста скандален, тъй като се злоупотребява от заплахи навсякъде. Той идва с обширен списък от функции, които киберпрестъпниците могат да използват, за да начертаят целевата мрежа, незабелязани, и да се движат странично през крайни точки, докато се подготвят да откраднат данни и внедрят ransomware.
Via: BleepingComputer (отваря се в нов раздел)