Log4j-sårbarheter används nu för att distribuera Cobalt Strike-beacons genom kommandoradsverktyget Windows Defender, har forskare funnit.
Cybersäkerhetsforskare från Sentinel Labs upptäckte nyligen en ny metod, anställd av en okänd hotaktör, där slutspelet var utplaceringen av LockBit 3.0 ransomware.
Det fungerar så här: hotaktören skulle utnyttja log4shell (som Log4j zero-day kallas) för att få tillgång till en målslutpunkt och få de nödvändiga användarrättigheterna. När det väl är ur vägen, skulle de använda PowerShell för att ladda ner tre separata filer: en Windows CL-verktygsfil (ren), en DLL-fil (mpclient.dll) och en LOG-fil (den faktiska Cobalt Strike-fyren).
Sidolastande Cobalt Strike
De skulle sedan köra MpCmdRun.exe, ett kommandoradsverktyg som utför olika uppgifter för Microsoft Defender. Det programmet skulle vanligtvis ladda en legitim DLL-fil – mpclient.dll, som det behöver för att köras korrekt. Men i det här fallet skulle programmet ladda en skadlig DLL med samma namn, nedladdad tillsammans med programmet.
Den DLL-filen kommer att ladda LOG-filen och dekryptera en krypterad Cobalt Strike-nyttolast.
Det är en metod som kallas sidbelastning.
Vanligtvis använde detta LockBit-affiliate VMwares kommandoradsverktyg för att sidladda Cobalt Strike beacons, BleepingComputer säger, så bytet till Windows Defender är något ovanligt. Publikationen spekulerar i att förändringen gjordes för att kringgå riktade skydd som VMware nyligen introducerade. Fortfarande, med hjälp av verktyg som bor utanför landet för att undvika att bli upptäckt av antivirus (öppnas i ny flik) eller skadlig kod (öppnas i ny flik) skyddstjänster är "extremt vanligt" nuförtiden, avslutar publikationen, och uppmanar företag att kontrollera sina säkerhetskontroller och vara vaksamma med att spåra hur legitima körbara filer (missbrukas).
Även om Cobalt Strike är ett legitimt verktyg, som används för penetrationstestning, har det blivit ganska ökänt eftersom det missbrukas av hotaktörer överallt. Den levereras med en omfattande lista med funktioner som cyberbrottslingar kan använda för att kartlägga målnätverket, oupptäckt, och flytta i sidled över slutpunkter, när de förbereder sig för att stjäla data och distribuera ransomware.
via: BleepingComputer (öppnas i ny flik)