Log4j-haavoittuvuuksia käytetään nyt Cobalt Strike -majakoiden asentamiseen Windows Defenderin komentorivityökalun kautta, tutkijat ovat havainneet.
Sentinel Labsin kyberturvallisuustutkijat huomasivat äskettäin uuden menetelmän, jota tuntematon uhkatoimija käytti ja jonka päätteeksi otetaan käyttöön LockBit 3.0 lunnasohjelma.
Se toimii näin: uhkatekijä käyttää log4shelliä (kuten Log4j:n nollapäivä kutsutaan) päästäkseen kohdepäätepisteeseen ja hankkiakseen tarvittavat käyttäjäoikeudet. Kun se on poissa tieltä, he lataavat PowerShellin avulla kolme erillistä tiedostoa: Windows CL -apuohjelmatiedoston (puhdas), DLL-tiedoston (mpclient.dll) ja LOG-tiedoston (varsinainen Cobalt Strike -majakka).
Sivulta ladattava Cobalt Strike
Sitten he suorittaisivat MpCmdRun.exe-komentorivityökalun, joka suorittaa erilaisia tehtäviä Microsoft Defenderille. Tämä ohjelma lataa yleensä laillisen DLL-tiedoston – mpclient.dll, jonka se tarvitsee toimiakseen oikein. Mutta tässä tapauksessa ohjelma lataa samannimisen haitallisen DLL:n, joka ladataan yhdessä ohjelman kanssa.
Tämä DLL lataa LOG-tiedoston ja purkaa salatun Cobalt Strike -hyötykuorman.
Se on sivulatauksena tunnettu menetelmä.
Yleensä tämä LockBit-tytäryritys käytti VMwaren komentorivityökaluja Cobalt Strike -majakoiden sivulataukseen, BleepingComputer sanoo, joten siirtyminen Windows Defenderiin on hieman epätavallinen. Julkaisu spekuloi, että muutos tehtiin ohittamaan VMwaren äskettäin käyttöön ottamat kohdistetut suojaukset. Silti käytämme ulkomailla eläviä työkaluja välttääksesi virusten havaitsemisen (avautuu uuteen välilehteen) tai haittaohjelma (avautuu uuteen välilehteen) Suojauspalvelut ovat "erittäin yleisiä" näinä päivinä, julkaisu päättelee ja kehottaa yrityksiä tarkistamaan turvavalvontansa ja olemaan valppaana seuraamaan, kuinka laillisia suoritettavia tiedostoja (väärin)käytetään.
Vaikka Cobalt Strike on laillinen työkalu, jota käytetään tunkeutumistestaukseen, siitä on tullut melko surullisen kuuluisa, koska uhkatoimijat käyttävät sitä väärin kaikkialla. Sen mukana tulee laaja luettelo ominaisuuksista, joita verkkorikolliset voivat käyttää kartoittaakseen kohdeverkon havaitsematta ja siirtyäkseen sivusuunnassa päätepisteiden välillä valmistautuessaan varastamaan tietoja ja ottamaan käyttöön kiristysohjelmia.
Via: BleepingComputer (avautuu uuteen välilehteen)