Istraživači su otkrili da se ranjivosti Log4j sada koriste za implementaciju Cobalt Strike beacon-a putem alata naredbenog retka Windows Defender.
Istraživači kibernetičke sigurnosti iz Sentinel Labsa nedavno su uočili novu metodu koju je koristio nepoznati akter prijetnje, a kraj igre je implementacija LockBit 3.0 ransomwarea.
Funkcionira ovako: akter prijetnje bi iskoristio log4shell (kako se naziva Log4j zero-day) da dobije pristup ciljnoj krajnjoj točki i dobije potrebne korisničke privilegije. Nakon što to uklone, koristit će PowerShell za preuzimanje tri zasebne datoteke: Windows CL uslužna datoteka (čista), DLL datoteka (mpclient.dll) i LOG datoteka (stvarni Cobalt Strike beacon).
Cobalt Strike s bočnim punjenjem
Zatim bi pokrenuli MpCmdRun.exe, uslužni program naredbenog retka koji obavlja razne zadatke za Microsoft Defender. Taj bi program obično učitao legitimnu DLL datoteku – mpclient.dll, koju treba ispravno pokrenuti. Ali u ovom slučaju, program bi učitao zlonamjerni DLL istog imena, preuzet zajedno s programom.
Taj DLL će imati učitavanje LOG datoteke i dešifrirati šifrirani korisni teret Cobalt Strike.
To je metoda poznata kao bočno učitavanje.
Obično je ova podružnica LockBita koristila VMware-ove alate naredbenog retka za bočno učitavanje Cobalt Strike beacona, BleepingComputer kaže, pa je prelazak na Windows Defender pomalo neobičan. Publikacija nagađa da je promjena napravljena kako bi se zaobišle ciljane zaštite koje je VMware nedavno uveo. Ipak, korištenje alata za život izvan zemlje kako bi se izbjeglo otkrivanje antivirusa (otvara se u novoj kartici) ili malware (otvara se u novoj kartici) usluge zaštite su ovih dana "izuzetno uobičajene", zaključuje publikacija, pozivajući tvrtke da provjere svoje sigurnosne kontrole i budu oprezne s praćenjem kako se legitimne izvršne datoteke (zlo)upotrebljavaju.
Iako je Cobalt Strike legitiman alat koji se koristi za testiranje penetracije, postao je prilično ozloglašen jer ga zlorabe akteri prijetnji posvuda. Dolazi s opsežnim popisom značajki koje kibernetički kriminalci mogu koristiti za mapiranje ciljne mreže, neotkriveni, i pomicanje bočno preko krajnjih točaka, dok se pripremaju ukrasti podatke i implementirati ransomware.
Via: BleepingComputer (otvara se u novoj kartici)