Badacze odkryli, że luki Log4j są obecnie wykorzystywane do wdrażania sygnałów nawigacyjnych Cobalt Strike za pomocą narzędzia wiersza poleceń Windows Defender.
Badacze cyberbezpieczeństwa z Sentinel Labs zauważyli niedawno nową metodę, zastosowaną przez nieznanego cyberprzestępcę, której efektem końcowym jest wdrożenie ransomware LockBit 3.0.
Działa to w następujący sposób: aktor zagrożenia wykorzystałby log4shell (jak nazywa się Log4j zero-day), aby uzyskać dostęp do docelowego punktu końcowego i uzyskać niezbędne uprawnienia użytkownika. Gdy to już nie będzie możliwe, użyją PowerShell do pobrania trzech oddzielnych plików: pliku narzędziowego Windows CL (czystego), pliku DLL (mpclient.dll) i pliku LOG (rzeczywisty sygnał nawigacyjny Cobalt Strike).
Cobalt Strike ładowany z boku
Następnie uruchomiliby MpCmdRun.exe, narzędzie wiersza poleceń, które wykonuje różne zadania dla programu Microsoft Defender. Ten program zwykle ładuje prawidłowy plik DLL – mpclient.dll, którego potrzebuje do poprawnego działania. Jednak w tym przypadku program ładowałby złośliwą bibliotekę DLL o tej samej nazwie, pobraną razem z programem.
Ta biblioteka DLL będzie ładować plik LOG i odszyfrować zaszyfrowany ładunek Cobalt Strike.
Jest to metoda znana jako ładowanie boczne.
Zwykle ten partner LockBit używał narzędzi wiersza poleceń VMware do bocznego ładowania sygnałów nawigacyjnych Cobalt Strike, BleepingComputer mówi, więc przejście na Windows Defender jest nieco niezwykłe. Publikacja spekuluje, że zmiana została wprowadzona w celu ominięcia ukierunkowanych zabezpieczeń, które ostatnio wprowadziła firma VMware. Mimo to, korzystając z narzędzi żyjących poza terenem, aby uniknąć wykrycia przez program antywirusowy (otwiera się w nowej karcie) lub złośliwe oprogramowanie (otwiera się w nowej karcie) Usługi ochrony są obecnie „niezwykle powszechne”, podsumowuje publikacja, zachęcając firmy do sprawdzania kontroli bezpieczeństwa i zachowania czujności przy śledzeniu, w jaki sposób legalne pliki wykonywalne są wykorzystywane (nad)używane.
Mimo że Cobalt Strike jest legalnym narzędziem, używanym do testów penetracyjnych, jest dość niesławny, ponieważ jest nadużywany przez cyberprzestępców na całym świecie. Zawiera obszerną listę funkcji, które cyberprzestępcy mogą wykorzystać do zmapowania sieci docelowej, niewykrytej i przemieszczania się w bok przez punkty końcowe, przygotowując się do kradzieży danych i wdrażania oprogramowania ransomware.
Via: BleepingComputer (otwiera się w nowej karcie)