Log4j vulnerabilities tam sim no tau raug siv los siv Cobalt Strike beacons los ntawm Windows Defender hais kom ua kab, cov kws tshawb fawb tau pom.
Cov kws tshawb fawb Cybersecurity los ntawm Sentinel Labs tsis ntev los no tau pom ib txoj hauv kev tshiab, ua haujlwm los ntawm tus neeg ua yeeb yam tsis paub txog kev hem thawj, nrog rau qhov kawg yog kev xa tawm ntawm LockBit 3.0 ransomware.
Nws ua haujlwm zoo li no: tus neeg ua yeeb yam hem yuav leverage log4shell (raws li Log4j xoom-hnub dubbed) kom nkag mus rau lub hom phiaj kawg, thiab tau txais cov cai tsim nyog siv. Thaum uas tawm ntawm txoj kev, lawv yuav siv PowerShell los rub tawm peb cov ntaub ntawv cais: Windows CL cov ntaub ntawv siv hluav taws xob (huv), DLL cov ntaub ntawv (mpclient.dll), thiab cov ntaub ntawv LOG (qhov tseeb Cobalt Strike beacon).
Sab-loading Cobalt Strike
Lawv mam li khiav MpCmdRun.exe, cov kab lus hais kom ua haujlwm uas ua haujlwm ntau yam rau Microsoft Defender. Qhov kev pab cuam ntawd feem ntau yuav thauj cov ntaub ntawv DLL raug cai - mpclient.dll, uas nws yuav tsum tau ua kom raug. Tab sis nyob rau hauv qhov piv txwv no, qhov kev zov me nyuam yuav thauj khoom siab phem DLL ntawm tib lub npe, rub tawm ua ke nrog qhov program.
Ntawd DLL yuav muaj LOG cov ntaub ntawv thauj khoom thiab txiav txim siab ib qho encrypted Cobalt Strike payload.
Nws yog ib txoj kev hu ua side-loading.
Feem ntau, LockBit affiliate no siv VMware cov kab hais kom ua cov cuab yeej rau sab-load Cobalt Strike beacons, BleepingComputer hais tias, yog li qhov hloov mus rau Windows Defender yog qhov txawv me ntsis. Cov ntawv tshaj tawm xav tias qhov kev hloov pauv tau ua los hla kev tiv thaiv uas VMware nyuam qhuav qhia. Txawm li cas los xij, siv cov cuab yeej ua neej nyob-tawm-hauv-tib av los khiav tawm los ntawm kev tiv thaiv kab mob (qhib hauv tab tshiab) los yog malware (qhib hauv tab tshiab) Cov kev pabcuam tiv thaiv yog "muaj ntau heev" hnub no, cov ntawv tshaj tawm xaus, hais kom cov lag luam saib xyuas lawv cov kev tswj hwm kev nyab xeeb thiab ceev faj nrog kev taug qab yuav ua li cas raug cai raug siv (ab) siv.
Txawm hais tias Cobalt Strike yog ib qho cuab yeej raug cai, siv rau kev ntsuas nkag mus, nws tau loj hlob tsis zoo vim nws raug tsim txom los ntawm cov neeg ua phem rau txhua qhov chaw. Nws los nrog cov npe dav dav ntawm cov yam ntxwv uas cybercriminals tuaj yeem siv los qhia tawm lub hom phiaj network, tsis paub, thiab txav mus tom qab hla cov ntsiab lus kawg, thaum lawv npaj nyiag cov ntaub ntawv thiab siv ransomware.
Ntawm: BleepingComputer (qhib hauv tab tshiab)