Kerentanan Log4j saiki digunakake kanggo masang beacon Cobalt Strike liwat alat baris perintah Windows Defender, peneliti nemokake.
Peneliti cybersecurity saka Sentinel Labs bubar nemokake cara anyar, sing digunakake dening aktor ancaman sing ora dingerteni, kanthi endgame yaiku penyebaran ransomware LockBit 3.0.
Kerjane kaya iki: aktor ancaman bakal nggunakake log4shell (minangka Log4j zero-day dijuluki) kanggo entuk akses menyang titik pungkasan target, lan entuk hak istimewa pangguna sing dibutuhake. Sawise metu saka dalan, padha bakal nggunakake PowerShell kanggo ndownload telung file sing kapisah: file sarana Windows CL (resik), file DLL (mpclient.dll), lan file LOG (suar Cobalt Strike sing nyata).
Side-loading Cobalt Strike
Dheweke banjur mbukak MpCmdRun.exe, sarana baris perintah sing nindakake macem-macem tugas kanggo Microsoft Defender. Program kasebut biasane mbukak file DLL sing sah - mpclient.dll, sing kudu ditindakake kanthi bener. Nanging ing kasus iki, program bakal mbukak DLL angkoro kanthi jeneng sing padha, diundhuh bebarengan karo program kasebut.
DLL kasebut bakal ngemot file LOG lan dekripsi muatan Cobalt Strike sing dienkripsi.
Iku cara sing dikenal minangka sideloading.
Biasane, afiliasi LockBit iki nggunakake alat baris perintah VMware kanggo ngunggahake beacon Cobalt Strike, BleepingComputer ngandika, supaya ngalih menyang Windows Defender Luwih mboten umum. Publikasi kasebut spekulasi pangowahan kasebut ditindakake kanggo ngliwati proteksi sing ditargetake sing diluncurake VMware. Isih, nggunakake piranti urip-off-the-land kanggo evade dideteksi dening antivirus (mbukak ing tab anyar) utawa malware (mbukak ing tab anyar) layanan pangayoman "banget umum" dina iki, publikasi rampung, urging bisnis kanggo mriksa kontrol keamanan lan waspada karo nelusuri carane executables sah lagi (ab) digunakake.
Sanajan Cobalt Strike minangka alat sing sah, digunakake kanggo tes penetrasi, iku wis dadi kondhang amarga dilecehke dening aktor ancaman ing endi wae. Nerangake karo dhaptar ekstensif fitur sing cybercriminals bisa digunakake kanggo peta metu jaringan target, ora dideteksi, lan pindhah laterally liwat endpoints, lagi nyiapake kanggo nyolong data lan masang ransomware.
Liwat: BleepingComputer (mbukak ing tab anyar)