Uurijad on leidnud, et nüüd kasutatakse Cobalt Strike'i majakate juurutamiseks Windows Defenderi käsurea tööriista kaudu Log4j haavatavusi.
Sentinel Labsi küberjulgeolekuteadlased märkasid hiljuti uut meetodit, mida kasutas tundmatu ohutegija ja mille lõppmänguks oli LockBit 3.0 lunavara juurutamine.
See toimib järgmiselt: ohus osaleja kasutab sihtotspunktile juurdepääsu saamiseks ja vajalike kasutajaõiguste hankimiseks log4shelli (nagu nimetatakse Log4j nullpäevaks). Kui see on möödas, kasutavad nad PowerShelli kolme eraldi faili allalaadimiseks: Windows CL-i utiliidifail (puhas), DLL-fail (mpclient.dll) ja LOG-fail (tegelik Cobalt Strike'i majakas).
Külglaaditav Cobalt Strike
Seejärel käivitaksid nad MpCmdRun.exe, käsurea utiliidi, mis täidab Microsoft Defenderi jaoks erinevaid ülesandeid. See programm laadib tavaliselt seadusliku DLL-faili – mpclient.dll, mida ta vajab korrektseks käitamiseks. Kuid sel juhul laadib programm sama nimega pahatahtliku DLL-i, mis laaditakse alla koos programmiga.
See DLL laadib LOG-faili ja dekrüpteerib krüptitud Cobalt Strike'i kasuliku koormuse.
See on meetod, mida nimetatakse külglaadimiseks.
Tavaliselt kasutas see LockBiti sidusettevõte Cobalt Strike'i majakate külglaadimiseks VMware'i käsurea tööriistu, BleepingComputer ütleb, nii et üleminek Windows Defenderile on mõnevõrra ebatavaline. Väljaanne oletab, et muudatus tehti VMware'i hiljuti kasutusele võetud sihitud kaitsetest möödahiilimiseks. Sellegipoolest kasutage maaväliseid tööriistu, et vältida viirusetõrje tuvastamist (avaneb uuel vahelehel) või pahavara (avaneb uuel vahelehel) kaitseteenused on tänapäeval "äärmiselt levinud", järeldab väljaanne, kutsudes ettevõtteid üles kontrollima oma turvakontrolli ja olema valvsad seaduslike täitmisfailide (kuritarvitamise) kasutamise jälgimisel.
Kuigi Cobalt Strike on legitiimne tööriist, mida kasutatakse läbitungimise testimiseks, on see muutunud üsna kurikuulsaks, kuna ohus osalejad kuritarvitavad seda kõikjal. See sisaldab ulatuslikku funktsioonide loendit, mida küberkurjategijad saavad kasutada sihtvõrgu kaardistamiseks avastamatult ja külgsuunas üle lõpp-punktide liikumise, kui nad valmistuvad andmete varastamiseks ja lunavara juurutamiseks.
Via: BleepingComputer (avaneb uuel vahelehel)