Log4j ranjivosti se sada koriste za postavljanje Cobalt Strike beacons-a putem alata komandne linije Windows Defender, otkrili su istraživači.
Istraživači kibernetičke sigurnosti iz Sentinel Labsa nedavno su uočili novu metodu koju koristi nepoznati akter prijetnje, a kraj igre je postavljanje LockBit 3.0 ransomwarea.
Funkcioniše ovako: akter pretnje bi iskoristio log4shell (kako je nazvan Log4j zero-day) da bi dobio pristup ciljnoj krajnjoj tački i dobio potrebne korisničke privilegije. Kada se to ukloni, koristili bi PowerShell za preuzimanje tri odvojene datoteke: Windows CL uslužni fajl (čist), DLL fajl (mpclient.dll) i LOG fajl (stvarni Cobalt Strike beacon).
Cobalt Strike sa bočnim punjenjem
Zatim bi pokrenuli MpCmdRun.exe, uslužni program komandne linije koji obavlja različite zadatke za Microsoft Defender. Taj program obično učitava legitimnu DLL datoteku – mpclient.dll, koju treba da ispravno pokrene. Ali u ovom slučaju, program bi učitao zlonamjerni DLL istog imena, preuzet zajedno s programom.
Taj DLL će učitati LOG datoteku i dešifrirati šifrirani Cobalt Strike korisni teret.
To je metoda poznata kao bočno učitavanje.
Obično je ova podružnica LockBita koristila VMwareove alate komandne linije za bočno učitavanje Cobalt Strike signala, BleepingComputer kaže, pa je prelazak na Windows Defender pomalo neobičan. Publikacija spekuliše da je promena napravljena kako bi se zaobišle ciljane zaštite koje je VMware nedavno uveo. Ipak, korištenje alata za život izvan zemlje kako bi se izbjeglo da vas antivirus otkrije (otvara se u novoj kartici) ili malware (otvara se u novoj kartici) Usluge zaštite su „izuzetno uobičajene“ ovih dana, zaključuje publikacija, pozivajući kompanije da provjere svoje sigurnosne kontrole i budu budne u praćenju načina na koji se legitimni izvršni fajlovi (zlo)upotrebljavaju.
Iako je Cobalt Strike legitiman alat, koji se koristi za testiranje penetracije, postao je prilično ozloglašen jer ga svuda zloupotrebljavaju akteri prijetnji. Dolazi sa opsežnom listom funkcija koje sajber kriminalci mogu koristiti za mapiranje ciljne mreže, neotkrivene, i bočno kretanje preko krajnjih tačaka, dok se pripremaju za krađu podataka i implementaciju ransomware-a.
Via: BleepingComputer (otvara se u novoj kartici)