Log4j алсыздыктары азыр Windows Defender буйрук сабы куралы аркылуу Cobalt Strike маяктарын жайылтуу үчүн колдонулуп жатканын изилдөөчүлөр аныкташкан.
Жакында Sentinel лабораториясынын киберкоопсуздук боюнча изилдөөчүлөрү белгисиз коркунуч актеру колдонгон жаңы ыкманы байкашты, анын соңку оюну LockBit 3.0 ransomware программасын жайылтуу.
Ал мындай иштейт: коркунуч актеру log4shell (Log4j нөл-күн деп аталат) максаттуу акыркы чекитке жетүү жана колдонуучуга керектүү артыкчылыктарды алуу үчүн колдонот. Бул жол жок болгондон кийин, алар PowerShell программасын үч өзүнчө файлды жүктөп алуу үчүн колдонушат: Windows CL утилита файлы (таза), DLL файлы (mpclient.dll) жана LOG файлы (чыныгы Cobalt Strike маяк).
Side-loading Cobalt Strike
Андан кийин алар MpCmdRun.exe, Microsoft Defender үчүн ар кандай тапшырмаларды аткарган буйрук сабынын утилитасын иштетишет. Бул программа адатта мыйзамдуу DLL файлын жүктөйт - mpclient.dll, ал туура иштеши керек. Бирок бул учурда, программа ошол эле аталыштагы зыяндуу DLLди жүктөйт, ал программа менен бирге жүктөлөт.
Бул DLL LOG файлын жүктөйт жана шифрленген Cobalt Strike пайдалуу жүгүн чечмелейт.
Бул капталдан жүктөө деп аталган ыкма.
Адатта, бул LockBit филиалы Cobalt Strike маяктарын каптал жүктөө үчүн VMware'дин буйрук сабынын куралдарын колдончу, BleepingComputer дейт, ошондуктан Windows Defender өтүү бир аз адаттан тыш болуп саналат. Басылмада өзгөртүү VMware жакында киргизген максаттуу коргоону айланып өтүү үчүн жасалган деп болжолдойт. Ошентсе да, антивирус тарабынан аныкталбоо үчүн, жер үстүндөгү куралдарды колдонуу (жаңы өтмөктө ачылат) же зыяндуу программа (жаңы өтмөктө ачылат) коргоо кызматтары бүгүнкү күндө "өтө кеңири таралган", - деп жыйынтыктайт басылма, бизнести коопсуздукту көзөмөлдөөнү текшерүүгө жана мыйзамдуу аткарылуучу файлдардын (ab) колдонулуп жаткандыгына көз салууда сак болууга үндөйт.
Cobalt Strike кирүүгө тестирлөө үчүн колдонулган мыйзамдуу курал болсо да, ал бардык жерде коркунуч туудурган актерлор тарабынан кыянаттык менен пайдаланылгандыктан, абдан жаман болуп калды. Бул киберкылмышкерлер маалыматтарды уурдоого жана ransomware жайылтууга даярданган кезде, максаттуу тармактын картасын аныктоо үчүн, аныкталбаган жана акыркы чекиттер боюнча жылдыруу үчүн колдоно ала турган функциялардын кеңири тизмеси менен келет.
аркылуу: BleepingComputer (жаңы өтмөктө ачылат)