Log4j-kwetsbaarheden worden nu gebruikt om Cobalt Strike-bakens te implementeren via de Windows Defender-opdrachtregeltool, hebben onderzoekers ontdekt.
Cybersecurity-onderzoekers van Sentinel Labs ontdekten onlangs een nieuwe methode, gebruikt door een onbekende dreigingsactor, met als eindspel de inzet van LockBit 3.0-ransomware.
Het werkt als volgt: de dreigingsactor zou log4shell gebruiken (zoals de Log4j zero-day wordt genoemd) om toegang te krijgen tot een doeleindpunt en de benodigde gebruikersrechten te verkrijgen. Als dat eenmaal uit de weg is, zouden ze PowerShell gebruiken om drie afzonderlijke bestanden te downloaden: een Windows CL-hulpprogrammabestand (schoon), een DLL-bestand (mpclient.dll) en een LOG-bestand (het eigenlijke Cobalt Strike-baken).
Zijladende kobaltaanval
Ze zouden dan MpCmdRun.exe uitvoeren, een opdrachtregelprogramma dat verschillende taken uitvoert voor Microsoft Defender. Dat programma laadt meestal een legitiem DLL-bestand - mpclient.dll, dat het nodig heeft om correct te worden uitgevoerd. Maar in dit geval zou het programma een kwaadaardige DLL met dezelfde naam laden, samen met het programma gedownload.
Die DLL zal het LOG-bestand laden en een versleutelde Cobalt Strike-payload ontsleutelen.
Het is een methode die bekend staat als side-loading.
Gewoonlijk gebruikte dit LockBit-filiaal de opdrachtregeltools van VMware om Cobalt Strike-bakens aan de zijkant te laden, BeginnersWeb zegt, dus de overstap naar Windows Defender is enigszins ongebruikelijk. De publicatie speculeert dat de wijziging is aangebracht om gerichte beveiligingen te omzeilen die VMware onlangs heeft geïntroduceerd. Toch gebruik maken van tools voor leven van het land om te voorkomen dat ze worden gedetecteerd door antivirus (opent in nieuw tabblad) of malware (opent in nieuw tabblad) beschermingsdiensten is tegenwoordig "uiterst gebruikelijk", concludeert de publicatie, en dringt er bij bedrijven op aan hun beveiligingscontroles te controleren en waakzaam te zijn bij het volgen van hoe legitieme uitvoerbare bestanden worden (misbruikt) gebruikt.
Ook al is Cobalt Strike een legitiem hulpmiddel dat wordt gebruikt voor penetratietesten, het is behoorlijk berucht geworden omdat het overal wordt misbruikt door bedreigingsactoren. Het wordt geleverd met een uitgebreide lijst met functies die cybercriminelen kunnen gebruiken om het doelnetwerk onopgemerkt in kaart te brengen en zijdelings over eindpunten te bewegen, terwijl ze zich voorbereiden op het stelen van gegevens en het inzetten van ransomware.
Via: BeginnersWeb (opent in nieuw tabblad)