Las vulnerabilidades de Log4j ahora se están utilizando para implementar balizas Cobalt Strike a través de la herramienta de línea de comandos de Windows Defender, según descubrieron los investigadores.
Los investigadores de seguridad cibernética de Sentinel Labs detectaron recientemente un nuevo método, empleado por un actor de amenazas desconocido, cuyo objetivo final era la implementación del ransomware LockBit 3.0.
Funciona así: el actor de amenazas aprovecharía log4shell (como se denomina el día cero de Log4j) para obtener acceso a un punto final de destino y obtener los privilegios de usuario necesarios. Una vez que esté fuera del camino, usarían PowerShell para descargar tres archivos separados: un archivo de utilidad CL de Windows (limpio), un archivo DLL (mpclient.dll) y un archivo LOG (la baliza Cobalt Strike real).
Golpe de cobalto de carga lateral
Luego ejecutarían MpCmdRun.exe, una utilidad de línea de comandos que realiza varias tareas para Microsoft Defender. Ese programa generalmente cargaría un archivo DLL legítimo: mpclient.dll, que necesita para ejecutarse correctamente. Pero en este caso, el programa cargaría una DLL maliciosa del mismo nombre, descargada junto con el programa.
Esa DLL tendrá la carga del archivo LOG y descifrará una carga útil cifrada de Cobalt Strike.
Es un método conocido como carga lateral.
Por lo general, esta filial de LockBit usaba las herramientas de línea de comandos de VMware para cargar lateralmente las balizas Cobalt Strike, BleepingComputer dice, por lo que el cambio a Windows Defender es algo inusual. La publicación especula que el cambio se realizó para eludir las protecciones específicas que VMware introdujo recientemente. Aún así, usar herramientas de vivir fuera de la tierra para evadir ser detectado por antivirus (se abre en una pestaña nueva) o malware (se abre en una pestaña nueva) Los servicios de protección son "extremadamente comunes" en estos días, concluye la publicación, instando a las empresas a verificar sus controles de seguridad y estar atentos al seguimiento de cómo se (ab)utilizan los ejecutables legítimos.
Aunque Cobalt Strike es una herramienta legítima, utilizada para pruebas de penetración, se ha vuelto bastante infame ya que los actores de amenazas en todas partes abusan de ella. Viene con una extensa lista de funciones que los ciberdelincuentes pueden usar para mapear la red de destino, sin ser detectados, y moverse lateralmente a través de los puntos finales, mientras se preparan para robar datos e implementar ransomware.
Vía: BleepingComputer (se abre en una pestaña nueva)