Log4j-sårbarheter blir nå brukt til å distribuere Cobalt Strike-beacons gjennom Windows Defender-kommandolinjeverktøyet, har forskere funnet.
Cybersikkerhetsforskere fra Sentinel Labs oppdaget nylig en ny metode, brukt av en ukjent trusselaktør, med sluttspillet utplasseringen av LockBit 3.0 løsepengevare.
Det fungerer slik: trusselaktøren vil utnytte log4shell (som Log4j zero-day er kalt) for å få tilgang til et målendepunkt, og få de nødvendige brukerrettighetene. Når det er ute av veien, vil de bruke PowerShell til å laste ned tre separate filer: en Windows CL-verktøyfil (ren), en DLL-fil (mpclient.dll) og en LOG-fil (det faktiske Cobalt Strike-fyrtårnet).
Sidelastende Cobalt Strike
De ville deretter kjøre MpCmdRun.exe, et kommandolinjeverktøy som utfører forskjellige oppgaver for Microsoft Defender. Det programmet vil vanligvis laste inn en legitim DLL-fil – mpclient.dll, som den trenger for å kjøre riktig. Men i dette tilfellet vil programmet laste en ondsinnet DLL med samme navn, lastet ned sammen med programmet.
Den DLL-filen vil laste LOG-filen og dekryptere en kryptert Cobalt Strike-nyttelast.
Det er en metode kjent som sidebelastning.
Vanligvis brukte dette LockBit-tilknyttede selskapet VMwares kommandolinjeverktøy for å sidelaste Cobalt Strike-beacons, BleepingComputer sier, så overgangen til Windows Defender er noe uvanlig. Publikasjonen spekulerer i at endringen ble gjort for å omgå målrettet beskyttelse som VMware nylig introduserte. Likevel bruker verktøy som bor utenfor landet for å unngå å bli oppdaget av antivirus (åpnes i ny fane) eller skadelig programvare (åpnes i ny fane) beskyttelsestjenester er "ekstremt vanlig" i disse dager, konkluderer publikasjonen, og oppfordrer bedrifter til å sjekke sikkerhetskontrollene sine og være årvåken med å spore hvordan legitime kjørbare filer (mis)brukes.
Selv om Cobalt Strike er et legitimt verktøy som brukes til penetrasjonstesting, har det blitt ganske beryktet ettersom det blir misbrukt av trusselaktører overalt. Den kommer med en omfattende liste over funksjoner som nettkriminelle kan bruke til å kartlegge målnettverket, uoppdaget, og bevege seg sideveis på tvers av endepunkter, mens de forbereder seg på å stjele data og distribuere løsepengeprogramvare.
Via: BleepingComputer (åpnes i ny fane)