Raziskovalci so ugotovili, da se ranljivosti Log4j zdaj uporabljajo za uvajanje svetilnikov Cobalt Strike prek orodja ukazne vrstice Windows Defender.
Raziskovalci kibernetske varnosti iz laboratorijev Sentinel Labs so nedavno opazili novo metodo, ki jo je uporabil neznan akter grožnje, pri čemer je bila končna igra uvedba izsiljevalske programske opreme LockBit 3.0.
Deluje takole: povzročitelj grožnje bi uporabil log4shell (kot se poimenuje Log4j zero-day), da bi pridobil dostop do ciljne končne točke in pridobil potrebne uporabniške privilegije. Ko bi to odpravili, bi uporabili PowerShell za prenos treh ločenih datotek: datoteke pripomočka Windows CL (čista), datoteke DLL (mpclient.dll) in datoteke LOG (dejanski svetilnik Cobalt Strike).
Cobalt Strike s stranskim polnjenjem
Nato bi zagnali MpCmdRun.exe, pripomoček ukazne vrstice, ki izvaja različne naloge za Microsoft Defender. Ta program bi običajno naložil zakonito datoteko DLL – mpclient.dll, ki jo mora pravilno zagnati. Toda v tem primeru bi program naložil istoimenski zlonamerni DLL, prenesen skupaj s programom.
Ta DLL bo naložil datoteko LOG in dešifriral šifrirano koristno vsebino Cobalt Strike.
To je metoda, znana kot stransko nalaganje.
Običajno je ta podružnica LockBita uporabljala orodja ukazne vrstice VMware za stransko nalaganje svetilnikov Cobalt Strike, BleepingComputer pravi, zato je prehod na Windows Defender nekoliko nenavaden. Publikacija špekulira, da je bila sprememba izvedena, da bi se izognili ciljnim zaščitam, ki jih je VMware nedavno predstavil. Kljub temu z uporabo orodij za življenje zunaj zemlje, da se izognemo temu, da bi jih zaznal protivirusni program (odpre se v novem zavihku) ali zlonamerno programsko opremo (odpre se v novem zavihku) Zaščitne storitve so dandanes "izjemno pogoste", zaključuje publikacija, ki podjetja poziva, naj preverijo svoje varnostne kontrole in naj bodo pozorna pri sledenju, kako se zakonite izvedljive datoteke (zlo)rabljajo.
Čeprav je Cobalt Strike legitimno orodje, ki se uporablja za testiranje penetracije, je postalo precej razvpito, saj ga zlorabljajo akterji groženj povsod. Na voljo je z obširnim seznamom funkcij, ki jih lahko kibernetski kriminalci uporabijo za preslikavo ciljnega omrežja, neodkrito, in premikanje bočno po končnih točkah, ko se pripravljajo na krajo podatkov in uvedbo izsiljevalske programske opreme.
Via: BleepingComputer (odpre se v novem zavihku)