Исследователи обнаружили, что уязвимости Log4j теперь используются для развертывания маяков Cobalt Strike с помощью инструмента командной строки Защитника Windows.
Исследователи кибербезопасности из Sentinel Labs недавно обнаружили новый метод, используемый неизвестным злоумышленником, конечным результатом которого является развертывание программы-вымогателя LockBit 3.0.
Это работает следующим образом: злоумышленник использует log4shell (так называют нулевой день Log4j), чтобы получить доступ к целевой конечной точке и получить необходимые пользовательские привилегии. После этого они использовали PowerShell для загрузки трех отдельных файлов: служебного файла Windows CL (чистого), файла DLL (mpclient.dll) и файла журнала (настоящего маяка Cobalt Strike).
Cobalt Strike с боковой загрузкой
Затем они запускали MpCmdRun.exe, утилиту командной строки, которая выполняет различные задачи для Microsoft Defender. Эта программа обычно загружает законный DLL-файл — mpclient.dll, который необходим ей для правильной работы. Но в этом случае программа загрузит одноименную вредоносную DLL, загруженную вместе с программой.
Эта DLL будет загружать файл LOG и расшифровывать зашифрованную полезную нагрузку Cobalt Strike.
Это метод, известный как боковая загрузка.
Обычно этот филиал LockBit использовал инструменты командной строки VMware для боковой загрузки маяков Cobalt Strike, BleepingComputer говорит, поэтому переключение на Защитник Windows несколько необычно. В публикации предполагается, что это изменение было сделано для обхода целевых средств защиты, которые недавно представила VMware. Тем не менее, используя живущие за пределами земли инструменты, чтобы избежать обнаружения антивирусом (открывается в новой вкладке) или вредоносное ПО (открывается в новой вкладке) Службы защиты в наши дни «чрезвычайно распространены», заключает издание, призывая предприятия проверять свои средства безопасности и проявлять бдительность, отслеживая, как законные исполняемые файлы используются (злоумышленно).
Несмотря на то, что Cobalt Strike является законным инструментом, используемым для тестирования на проникновение, он стал довольно печально известным, поскольку злоумышленники повсюду злоупотребляют им. Он поставляется с обширным списком функций, которые киберпреступники могут использовать для обнаружения целевой сети, незамеченными и бокового перемещения между конечными точками, поскольку они готовятся к краже данных и развертыванию программ-вымогателей.
Via: BleepingComputer (открывается в новой вкладке)