Les vulnérabilités Log4j sont maintenant utilisées pour déployer des balises Cobalt Strike via l'outil de ligne de commande Windows Defender, ont découvert des chercheurs.
Les chercheurs en cybersécurité de Sentinel Labs ont récemment repéré une nouvelle méthode, employée par un acteur menaçant inconnu, la fin du jeu étant le déploiement du rançongiciel LockBit 3.0.
Cela fonctionne comme ceci : l'acteur de la menace utiliserait log4shell (comme le log4j zero-day est surnommé) pour accéder à un point de terminaison cible et obtenir les privilèges d'utilisateur nécessaires. Une fois cela fait, ils utiliseraient PowerShell pour télécharger trois fichiers distincts : un fichier utilitaire Windows CL (propre), un fichier DLL (mpclient.dll) et un fichier LOG (la balise Cobalt Strike réelle).
Cobalt Strike à chargement latéral
Ils exécuteraient ensuite MpCmdRun.exe, un utilitaire de ligne de commande qui effectue diverses tâches pour Microsoft Defender. Ce programme charge généralement un fichier DLL légitime - mpclient.dll, dont il a besoin pour s'exécuter correctement. Mais dans ce cas, le programme chargerait une DLL malveillante du même nom, téléchargée avec le programme.
Cette DLL chargera le fichier LOG et décryptera une charge utile Cobalt Strike cryptée.
C'est une méthode connue sous le nom de chargement latéral.
Habituellement, cette filiale de LockBit utilisait les outils de ligne de commande de VMware pour charger latéralement les balises Cobalt Strike, BleepingComputer dit, donc le passage à Windows Defender est quelque peu inhabituel. La publication suppose que la modification a été apportée pour contourner les protections ciblées que VMware a récemment introduites. Pourtant, utiliser des outils vivant hors de la terre pour éviter d'être détecté par un antivirus (s'ouvre dans un nouvel onglet) ou malware (s'ouvre dans un nouvel onglet) Les services de protection sont "extrêmement courants" de nos jours, conclut la publication, exhortant les entreprises à vérifier leurs contrôles de sécurité et à être vigilantes quant au suivi de la façon dont les exécutables légitimes sont (abus) utilisés.
Même si Cobalt Strike est un outil légitime, utilisé pour les tests d'intrusion, il est devenu assez tristement célèbre car il est abusé par des acteurs de la menace partout dans le monde. Il est livré avec une longue liste de fonctionnalités que les cybercriminels peuvent utiliser pour cartographier le réseau cible, sans être détecté, et se déplacer latéralement entre les terminaux, alors qu'ils se préparent à voler des données et à déployer des ransomwares.
Via: BleepingComputer (s'ouvre dans un nouvel onglet)