Τα τρωτά σημεία Log4j χρησιμοποιούνται τώρα για την ανάπτυξη φάρους Cobalt Strike μέσω του εργαλείου γραμμής εντολών του Windows Defender, ανακάλυψαν οι ερευνητές.
Ερευνητές κυβερνοασφάλειας από τα Sentinel Labs εντόπισαν πρόσφατα μια νέα μέθοδο, που χρησιμοποιήθηκε από έναν άγνωστο παράγοντα απειλών, με το τελικό παιχνίδι να είναι η ανάπτυξη του LockBit 3.0 ransomware.
Λειτουργεί ως εξής: ο παράγοντας απειλής θα αξιοποιήσει το log4shell (όπως ονομάζεται το Log4j zero-day) για να αποκτήσει πρόσβαση σε ένα τελικό σημείο στόχο και να αποκτήσει τα απαραίτητα δικαιώματα χρήστη. Μόλις αυτό ξεπεραστεί, θα χρησιμοποιούσαν το PowerShell για να κατεβάσουν τρία ξεχωριστά αρχεία: ένα αρχείο βοηθητικού προγράμματος Windows CL (καθαρό), ένα αρχείο DLL (mpclient.dll) και ένα αρχείο LOG (το πραγματικό σήμα Cobalt Strike).
Πλευρική απεργία κοβαλτίου
Στη συνέχεια θα εκτελούσαν το MpCmdRun.exe, ένα βοηθητικό πρόγραμμα γραμμής εντολών που εκτελεί διάφορες εργασίες για το Microsoft Defender. Αυτό το πρόγραμμα θα φορτώνει συνήθως ένα νόμιμο αρχείο DLL – mpclient.dll, το οποίο χρειάζεται για να εκτελεστεί σωστά. Αλλά σε αυτήν την περίπτωση, το πρόγραμμα θα φορτώσει ένα κακόβουλο DLL με το ίδιο όνομα, το οποίο έχει ληφθεί μαζί με το πρόγραμμα.
Αυτό το DLL θα έχει το αρχείο LOG και θα αποκρυπτογραφήσει ένα κρυπτογραφημένο ωφέλιμο φορτίο Cobalt Strike.
Είναι μια μέθοδος γνωστή ως πλευρική φόρτωση.
Συνήθως, αυτή η θυγατρική εταιρεία LockBit χρησιμοποιούσε τα εργαλεία γραμμής εντολών της VMware για πλευρική φόρτωση φάρων Cobalt Strike, BleepingComputer λέει, οπότε η μετάβαση στο Windows Defender είναι κάπως ασυνήθιστη. Η δημοσίευση εικάζει ότι η αλλαγή έγινε για να παρακαμφθούν στοχευμένες προστασίες που εισήγαγε πρόσφατα η VMware. Ακόμα, χρησιμοποιώντας εργαλεία που ζουν εκτός της γης για να αποφύγουν τον εντοπισμό από το πρόγραμμα προστασίας από ιούς (ανοίγει σε νέα καρτέλα) ή κακόβουλο λογισμικό (ανοίγει σε νέα καρτέλα) Οι υπηρεσίες προστασίας είναι «εξαιρετικά συνηθισμένες» αυτές τις μέρες, καταλήγει η δημοσίευση, προτρέποντας τις επιχειρήσεις να ελέγχουν τους ελέγχους ασφαλείας τους και να επαγρυπνούν με την παρακολούθηση του τρόπου με τον οποίο χρησιμοποιούνται τα νόμιμα εκτελέσιμα αρχεία.
Παρόλο που το Cobalt Strike είναι ένα νόμιμο εργαλείο, που χρησιμοποιείται για δοκιμές διείσδυσης, έχει γίνει αρκετά διαβόητο καθώς γίνεται κατάχρηση από τους φορείς απειλών παντού. Έρχεται με μια εκτενή λίστα χαρακτηριστικών που μπορούν να χρησιμοποιήσουν οι εγκληματίες του κυβερνοχώρου για να χαρτογραφήσουν το δίκτυο-στόχο, που δεν ανιχνεύονται και να μετακινούνται πλευρικά στα τελικά σημεία, καθώς προετοιμάζονται να κλέψουν δεδομένα και να αναπτύξουν ransomware.
μέσω: BleepingComputer (ανοίγει σε νέα καρτέλα)