Log4j कमजोरियों का उपयोग अब विंडोज डिफेंडर कमांड लाइन टूल के माध्यम से कोबाल्ट स्ट्राइक बीकन को तैनात करने के लिए किया जा रहा है, शोधकर्ताओं ने पाया है।
सेंटिनल लैब्स के साइबर सुरक्षा शोधकर्ताओं ने हाल ही में एक अज्ञात खतरे वाले अभिनेता द्वारा नियोजित एक नई विधि देखी, जिसमें एंडगेम लॉकबिट 3.0 रैंसमवेयर की तैनाती थी।
यह इस तरह काम करता है: लक्ष्य समापन बिंदु तक पहुंच प्राप्त करने और आवश्यक उपयोगकर्ता विशेषाधिकार प्राप्त करने के लिए खतरा अभिनेता log4shell (जैसा कि Log4j शून्य-दिन डब किया गया है) का लाभ उठाएगा। एक बार यह रास्ते से बाहर हो जाने के बाद, वे तीन अलग-अलग फ़ाइलों को डाउनलोड करने के लिए पावरशेल का उपयोग करेंगे: एक विंडोज़ सीएल उपयोगिता फ़ाइल (साफ), एक डीएलएल फ़ाइल (mpclient.dll), और एक लॉग फ़ाइल (वास्तविक कोबाल्ट स्ट्राइक बीकन)।
साइड-लोडिंग कोबाल्ट स्ट्राइक
फिर वे MpCmdRun.exe चलाएंगे, जो एक कमांड लाइन उपयोगिता है जो Microsoft डिफेंडर के लिए विभिन्न कार्य करती है। वह प्रोग्राम आमतौर पर एक वैध डीएलएल फ़ाइल लोड करेगा - mpclient.dll, जिसे इसे सही ढंग से चलाने की आवश्यकता है। लेकिन इस उदाहरण में, प्रोग्राम उसी नाम का एक दुर्भावनापूर्ण DLL लोड करेगा, जिसे प्रोग्राम के साथ डाउनलोड किया जाएगा।
उस डीएलएल में लॉग फ़ाइल लोड होगा और एक एन्क्रिप्टेड कोबाल्ट स्ट्राइक पेलोड को डिक्रिप्ट करेगा।
यह एक विधि है जिसे साइड-लोडिंग के रूप में जाना जाता है।
आमतौर पर, इस लॉकबिट सहयोगी ने कोबाल्ट स्ट्राइक बीकन को साइड-लोड करने के लिए वीएमवेयर के कमांड लाइन टूल्स का इस्तेमाल किया, BleepingComputer कहते हैं, इसलिए विंडोज डिफेंडर पर स्विच करना कुछ असामान्य है। प्रकाशन अनुमान लगाता है कि वीएमवेयर ने हाल ही में पेश किए गए लक्षित सुरक्षा को बायपास करने के लिए परिवर्तन किया था। फिर भी, एंटीवायरस द्वारा पता लगाए जाने से बचने के लिए लैंड-ऑफ-द-लैंड टूल का उपयोग करना (नए टैब में खुलता है) या मैलवेयर (नए टैब में खुलता है) सुरक्षा सेवाएं इन दिनों "बेहद आम" हैं, प्रकाशन का निष्कर्ष है, व्यवसायों से अपने सुरक्षा नियंत्रणों की जांच करने और वैध निष्पादन योग्य (एबी) का उपयोग कैसे किया जा रहा है, इस पर नज़र रखने के लिए सतर्क रहने का आग्रह करता हूं।
भले ही कोबाल्ट स्ट्राइक एक वैध उपकरण है, जिसका उपयोग पैठ परीक्षण के लिए किया जाता है, यह काफी बदनाम हो गया है क्योंकि हर जगह धमकी देने वाले अभिनेताओं द्वारा इसका दुरुपयोग किया जा रहा है। यह सुविधाओं की एक विस्तृत सूची के साथ आता है, जिसका उपयोग साइबर अपराधी लक्ष्य नेटवर्क को मैप करने के लिए कर सकते हैं, पता नहीं चल पाता है, और बाद में अंतिम बिंदुओं पर स्थानांतरित हो जाता है, क्योंकि वे डेटा चोरी करने और रैंसमवेयर को तैनात करने की तैयारी करते हैं।
के माध्यम से: BleepingComputer (नए टैब में खुलता है)