Log4j осалдықтары қазір Windows Defender пәрмен жолы құралы арқылы Cobalt Strike маяктарын орналастыру үшін пайдаланылады, зерттеушілер анықтады.
Жақында Sentinel Labs киберқауіпсіздік зерттеушілері белгісіз қауіп актері қолданатын жаңа әдісті байқады, оның соңы LockBit 3.0 төлем бағдарламалық құралын орналастыру болып табылады.
Ол келесідей жұмыс істейді: қауіп актері мақсатты соңғы нүктеге қол жеткізу және қажетті пайдаланушы артықшылықтарын алу үшін log4shell (Log4j нөлдік күн деп аталады) пайдаланады. Бұл жолдан шыққанда, олар PowerShell бағдарламасын үш бөлек файлды жүктеп алу үшін пайдаланады: Windows CL қызметтік файлы (таза), DLL файлы (mpclient.dll) және LOG файлы (нақты Cobalt Strike маяк).
Бүйірден жүктелетін Cobalt Strike
Содан кейін олар Microsoft Defender үшін әртүрлі тапсырмаларды орындайтын пәрмен жолы утилитасы MpCmdRun.exe іске қосады. Бұл бағдарлама әдетте заңды DLL файлын – mpclient.dll жүктейді, ол дұрыс іске қосылуы керек. Бірақ бұл жағдайда бағдарлама бағдарламамен бірге жүктелген аттас зиянды DLL файлын жүктейді.
Бұл DLL файлында LOG файлы жүктеледі және шифрланған Cobalt Strike пайдалы жүктемесінің шифры ашылады.
Бұл бүйірлік жүктеу деп аталатын әдіс.
Әдетте, бұл LockBit серіктестігі Cobalt Strike маяктарын жанама жүктеу үшін VMware пәрмен жолы құралдарын пайдаланды, BleepingComputer дейді, сондықтан Windows Defender-ге ауысу әдеттен тыс. Басылым бұл өзгеріс VMware жақында енгізген мақсатты қорғаныстарды айналып өту үшін жасалған деп болжайды. Десе де, антивирус арқылы анықталмау үшін жер бетіндегі құралдарды пайдалану (жаңа қойындыда ашылады) немесе зиянды бағдарлама (жаңа қойындыда ашылады) қорғау қызметтері бұл күндері «өте кең таралған», - деп қорытындылады басылым, бизнесті қауіпсіздікті бақылауды тексеруге және заңды орындалатын файлдардың (ab) қалай пайдаланылып жатқанын бақылауда қырағы болуға шақырады.
Cobalt Strike енуді сынау үшін қолданылатын заңды құрал болса да, оны барлық жерде қауіп төндіретін субъектілер теріс пайдаланатындықтан, ол өте танымал болды. Ол киберқылмыскерлер деректерді ұрлауға және төлем бағдарламалық құралын орналастыруға дайындалып жатқан кезде, анықталмаған мақсатты желіні анықтау және соңғы нүктелер бойынша көлденең жылжыту үшін пайдалана алатын мүмкіндіктердің кең тізімімен келеді.
Via: BleepingComputer (жаңа қойындыда ашылады)