Пропустите на Log4j сега се користат за распоредување на Beacons на Cobalt Strike преку алатката за командна линија Windows Defender, открија истражувачите.
Истражувачите за сајбер безбедност од Sentinel Labs неодамна забележаа нов метод, користен од непознат актер за закана, при што крајната игра е распоредување на откупниот софтвер LockBit 3.0.
Работи вака: актерот за закана ќе го искористи log4shell (како што е наречен Log4j нултиот ден) за да добие пристап до целната крајна точка и да ги добие потребните кориснички привилегии. Штом тоа не се случи, тие би користеле PowerShell за преземање три посебни датотеки: Windows CL услужна датотека (чиста), датотека DLL (mpclient.dll) и датотека LOG (вистинскиот Cobalt Strike beacon).
Страничен кобалт штрајк
Тие потоа ќе го стартуваат MpCmdRun.exe, алатка за командна линија која извршува различни задачи за Microsoft Defender. Таа програма обично ќе вчита легитимна DLL-датотека - mpclient.dll, која треба правилно да ја извршува. Но, во овој пример, програмата ќе вчита злонамерен DLL со исто име, преземен заедно со програмата.
Тој DLL ќе има оптоварување на датотеката LOG и ќе дешифрира шифрирана носивост на Cobalt Strike.
Тоа е метод познат како странично вчитување.
Обично, оваа подружница на LockBit ги користеше алатките на командната линија на VMware за странично вчитување на светилниците на Cobalt Strike, BleepingComputer вели, така што префрлањето на Windows Defender е нешто невообичаено. Публикацијата шпекулира дека промената е направена за да се заобиколат целните заштити што неодамна ги воведе VMware. Сепак, користење на алатки кои живеат надвор од земјата за да избегнете откривање од антивирус (се отвора во нов таб) или малициозен софтвер (се отвора во нов таб) услугите за заштита се „исклучително вообичаени“ деновиве, заклучува публикацијата, повикувајќи ги бизнисите да ги проверат своите безбедносни контроли и да бидат внимателни при следењето на тоа како се (зло)употребуваат легитимните извршни датотеки.
И покрај тоа што Cobalt Strike е легитимна алатка, која се користи за тестирање на пенетрација, таа е доста озлогласена бидејќи се злоупотребува од актери за закани насекаде. Доаѓа со обемна листа на функции што сајбер-криминалците можат да ги користат за да ја мапираат целната мрежа, неоткриена и да се движат странично низ крајните точки, додека се подготвуваат да украдат податоци и да распоредат откупни софтвери.
Преку: BleepingComputer (се отвора во нов таб)