Pētnieki atklājuši, ka Log4j ievainojamības tagad tiek izmantotas, lai izvietotu Cobalt Strike bākas, izmantojot Windows Defender komandrindas rīku.
Kiberdrošības pētnieki no Sentinel Labs nesen pamanīja jaunu metodi, ko izmantoja nezināms apdraudējuma dalībnieks, un gala rezultāts bija LockBit 3.0 izpirkuma programmatūras izvietošana.
Tas darbojas šādi: apdraudējuma dalībnieks izmanto log4shell (kā tiek saukts Log4j nulles diena), lai piekļūtu mērķa galapunktam un iegūtu nepieciešamās lietotāja privilēģijas. Kad tas vairs nebūs iespējams, viņi izmantos PowerShell, lai lejupielādētu trīs atsevišķus failus: Windows CL utilītas failu (tīru), DLL failu (mpclient.dll) un LOG failu (faktisko Cobalt Strike bāksignālu).
Sānu ielāde Cobalt Strike
Pēc tam viņi palaistu MpCmdRun.exe — komandrindas utilītu, kas veic dažādus Microsoft Defender uzdevumus. Šī programma parasti ielādēs likumīgu DLL failu — mpclient.dll, kas tai ir nepieciešams pareizi palaist. Taču šajā gadījumā programma ielādēs tāda paša nosaukuma ļaunprātīgu DLL, kas lejupielādēts kopā ar programmu.
Šim DLL būs LOG faila ielāde un šifrēta Cobalt Strike lietderīgā slodze.
Tā ir metode, kas pazīstama kā sānu ielāde.
Parasti šis LockBit saistītais uzņēmums izmantoja VMware komandrindas rīkus, lai ielādētu Cobalt Strike bākas, BlepingComputer saka, tāpēc pāreja uz Windows Defender ir nedaudz neparasta. Izdevums spekulē, ka izmaiņas tika veiktas, lai apietu mērķtiecīgu aizsardzību, ko nesen ieviesa VMware. Tomēr, izmantojot ārzemēs dzīvojošus rīkus, lai izvairītos no antivīrusa atklāšanas (atveras jaunā cilnē) vai ļaunprātīgu programmatūru (atveras jaunā cilnē) aizsardzības pakalpojumi mūsdienās ir “ļoti izplatīti”, secināts publikācijā, mudinot uzņēmumus pārbaudīt savas drošības kontroles un būt modriem, izsekojot, kā tiek (ļaunprātīgi) izmantoti likumīgi izpildāmie faili.
Lai gan Cobalt Strike ir likumīgs rīks, ko izmanto iespiešanās pārbaudēm, tas ir kļuvis diezgan bēdīgi slavens, jo visur to ļaunprātīgi izmanto apdraudējuma dalībnieki. Tam ir iekļauts plašs funkciju saraksts, ko kibernoziedznieki var izmantot, lai kartētu mērķa tīklu, neatklāti un pārvietotos uz sāniem pa galapunktiem, gatavojoties datu nozagšanai un izspiedējprogrammatūras izvietošanai.
Izmantojot: BlepingComputer (atveras jaunā cilnē)