Ginagamit na ngayon ang mga kahinaan sa Log4j upang mag-deploy ng mga Cobalt Strike beacon sa pamamagitan ng tool ng command line ng Windows Defender, natuklasan ng mga mananaliksik.
Ang mga mananaliksik sa cybersecurity mula sa Sentinel Labs ay nakakita kamakailan ng isang bagong paraan, na ginamit ng isang hindi kilalang banta na aktor, na ang endgame ay ang pag-deploy ng LockBit 3.0 ransomware.
Ito ay gumagana tulad nito: ang banta ng aktor ay makikinabang sa log4shell (bilang ang Log4j zero-day ay binansagan) upang makakuha ng access sa isang target na endpoint, at makuha ang kinakailangang mga pribilehiyo ng user. Kapag nawala na iyon, gagamitin nila ang PowerShell para mag-download ng tatlong magkahiwalay na file: isang Windows CL utility file (malinis), isang DLL file (mpclient.dll), at isang LOG file (ang aktwal na Cobalt Strike beacon).
Side-loading Cobalt Strike
Pagkatapos ay tatakbo sila ng MpCmdRun.exe, isang command line utility na nagsasagawa ng iba't ibang gawain para sa Microsoft Defender. Ang program na iyon ay karaniwang naglo-load ng isang lehitimong DLL file - mpclient.dll, na kailangan nitong tumakbo nang tama. Ngunit sa pagkakataong ito, maglo-load ang program ng malisyosong DLL na may parehong pangalan, na na-download kasama ng program.
Ang DLL na iyon ay magkakaroon ng LOG file load at mag-decrypt ng isang naka-encrypt na Cobalt Strike payload.
Ito ay isang paraan na kilala bilang side-loading.
Karaniwan, ang LockBit affiliate na ito ay gumagamit ng command line tool ng VMware para i-side-load ang mga Cobalt Strike beacon, BleepingComputer sabi, kaya ang paglipat sa Windows Defender ay medyo hindi karaniwan. Ipinapalagay ng publikasyon na ang pagbabago ay ginawa upang i-bypass ang mga naka-target na proteksyon na ipinakilala kamakailan ng VMware. Gayunpaman, ang paggamit ng mga living-off-the-land na tool upang maiwasang ma-detect ng antivirus (bubukas sa bagong tab) o malware (bubukas sa bagong tab) Ang mga serbisyo ng proteksyon ay "labis na karaniwan" sa mga araw na ito, ang publikasyon ay nagtatapos, na humihimok sa mga negosyo na suriin ang kanilang mga kontrol sa seguridad at maging mapagbantay sa pagsubaybay kung paano ginagamit (ab) ang mga lehitimong executable.
Kahit na ang Cobalt Strike ay isang lehitimong tool, na ginagamit para sa penetration testing, ito ay lumaki nang husto dahil ito ay inaabuso ng mga banta na aktor sa lahat ng dako. Ito ay may kasamang malawak na listahan ng mga feature na magagamit ng mga cybercriminal upang i-map out ang target na network, hindi natukoy, at lumipat sa gilid sa mga endpoint, habang naghahanda silang magnakaw ng data at mag-deploy ng ransomware.
Sa pamamagitan ng: BleepingComputer (bubukas sa bagong tab)