A kutatók megállapították, hogy a Log4j sebezhetőségeit most a Cobalt Strike jelzőfények Windows Defender parancssori eszközön keresztül történő telepítésére használják.
A Sentinel Labs kiberbiztonsági kutatói a közelmúltban felfedeztek egy új módszert, amelyet egy ismeretlen fenyegető szereplő alkalmaz, és a végjáték a LockBit 3.0 ransomware telepítése volt.
Ez a következőképpen működik: a fenyegetés szereplője a log4shell segítségével (ahogy a Log4j nulladik napját nevezik) hozzáférhet egy célvégponthoz, és megszerezné a szükséges felhasználói jogosultságokat. Ha ez nem megy, a PowerShell segítségével három külön fájlt töltenek le: egy Windows CL segédprogramot (tiszta), egy DLL fájlt (mpclient.dll) és egy LOG fájlt (a tényleges Cobalt Strike jeladót).
Oldalról tölthető Cobalt Strike
Ezután az MpCmdRun.exe parancssori segédprogramot futtatják, amely különféle feladatokat hajt végre a Microsoft Defender számára. Ez a program általában egy törvényes DLL-fájlt – mpclient.dll-t – tölt be, amelynek megfelelően futnia kell. De ebben az esetben a program betölt egy azonos nevű rosszindulatú DLL-t, amelyet a programmal együtt töltenek le.
Ez a DLL betölti a LOG fájlt, és visszafejti a titkosított Cobalt Strike hasznos adatot.
Ez egy oldalterhelésként ismert módszer.
Általában ez a LockBit leányvállalat a VMware parancssori eszközeit használta a Cobalt Strike jelzőfények oldalsó betöltésére, BleepingComputer mondja, így a Windows Defenderre való váltás kissé szokatlan. A kiadvány azt feltételezi, hogy a változtatás a VMware által nemrégiben bevezetett célzott védelmek megkerülése érdekében történt. Mégis, a földön kívüli eszközök használatával elkerülhető, hogy a víruskereső észlelje (új lapon nyílik meg) vagy malware (új lapon nyílik meg) A védelmi szolgáltatások „rendkívül elterjedtek” manapság – zárul a kiadvány, és arra kéri a vállalkozásokat, hogy ellenőrizzék biztonsági ellenőrzéseiket, és legyenek éberek a jogszerű végrehajtható fájlok (vissza)használatának nyomon követésében.
Annak ellenére, hogy a Cobalt Strike legitim eszköz, amelyet a behatolási teszteléshez használnak, meglehetősen hírhedtté vált, mivel a fenyegetés szereplői mindenhol visszaélnek vele. Tartalmazza azon funkciók széles listáját, amelyeket a kiberbűnözők használhatnak a célhálózat feltérképezésére, észrevétlenül, és oldalirányban a végpontokon keresztül, miközben felkészülnek az adatok ellopására és a zsarolóvírusok telepítésére.
Keresztül: BleepingComputer (új lapon nyílik meg)