As vulnerabilidades do Log4j agora estão sendo usadas para implantar beacons Cobalt Strike por meio da ferramenta de linha de comando do Windows Defender, descobriram os pesquisadores.
Pesquisadores de segurança cibernética do Sentinel Labs descobriram recentemente um novo método, empregado por um agente de ameaça desconhecido, com o objetivo final sendo a implantação do ransomware LockBit 3.0.
Funciona assim: o agente da ameaça aproveitaria o log4shell (como o dia zero do Log4j é apelidado) para obter acesso a um endpoint de destino e obter os privilégios de usuário necessários. Quando isso estiver fora do caminho, eles usarão o PowerShell para baixar três arquivos separados: um arquivo de utilitário CL do Windows (limpo), um arquivo DLL (mpclient.dll) e um arquivo LOG (o real sinalizador Cobalt Strike).
Ataque de Cobalto de carregamento lateral
Eles então executariam o MpCmdRun.exe, um utilitário de linha de comando que executa várias tarefas para o Microsoft Defender. Esse programa normalmente carrega um arquivo DLL legítimo – mpclient.dll, que ele precisa para ser executado corretamente. Mas neste caso, o programa carregaria uma DLL maliciosa com o mesmo nome, baixada junto com o programa.
Essa DLL fará o carregamento do arquivo LOG e descriptografará uma carga útil criptografada do Cobalt Strike.
É um método conhecido como side-loading.
Normalmente, esse afiliado da LockBit usava as ferramentas de linha de comando da VMware para carregar os beacons Cobalt Strike, BleepingComputer diz, então a mudança para o Windows Defender é um tanto incomum. A publicação especula que a mudança foi feita para contornar as proteções direcionadas que a VMware introduziu recentemente. Ainda assim, usar ferramentas de vida fora da terra para evitar ser detectado pelo antivírus (abre em uma nova guia) ou malware (abre em uma nova guia) serviços de proteção é “extremamente comum” nos dias de hoje, conclui a publicação, pedindo às empresas que verifiquem seus controles de segurança e estejam vigilantes ao rastrear como executáveis legítimos estão sendo (ab)usados.
Embora o Cobalt Strike seja uma ferramenta legítima, usada para testes de penetração, tornou-se bastante infame, pois está sendo abusada por agentes de ameaças em todos os lugares. Ele vem com uma extensa lista de recursos que os cibercriminosos podem usar para mapear a rede de destino, sem ser detectado, e mover-se lateralmente pelos endpoints, enquanto se preparam para roubar dados e implantar ransomware.
via: BleepingComputer (abre em uma nova guia)