Дослідники виявили, що уразливості Log4j тепер використовуються для розгортання маяків Cobalt Strike через інструмент командного рядка Windows Defender.
Дослідники з кібербезпеки з Sentinel Labs нещодавно помітили новий метод, застосований невідомим загрозником, кінцевим результатом якого було розгортання програми-вимагача LockBit 3.0.
Це працює так: суб’єкт загрози використовує log4shell (як називають Log4j zero-day), щоб отримати доступ до цільової кінцевої точки та отримати необхідні привілеї користувача. Коли це буде усунено, вони використають PowerShell для завантаження трьох окремих файлів: файл утиліти Windows CL (чистий), файл DLL (mpclient.dll) і файл LOG (справжній маяк Cobalt Strike).
Cobalt Strike з боковим завантаженням
Потім вони запустять MpCmdRun.exe, утиліту командного рядка, яка виконує різні завдання для Microsoft Defender. Ця програма зазвичай завантажує законний файл DLL – mpclient.dll, який їй потрібен для правильного запуску. Але в цьому випадку програма завантажить однойменну шкідливу DLL, завантажену разом із програмою.
Ця DLL завантажуватиме файл LOG і розшифровуватиме зашифроване корисне навантаження Cobalt Strike.
Це метод, відомий як бокове завантаження.
Зазвичай ця афілійована компанія LockBit використовувала інструменти командного рядка VMware для бокового завантаження маяків Cobalt Strike, BleepingComputer каже, тому перехід на Windows Defender є дещо незвичним. Видання припускає, що зміна була зроблена, щоб обійти цільовий захист, який нещодавно представила VMware. Тим не менш, використання живих поза межами землі інструментів, щоб уникнути виявлення антивірусом (відкривається в новій вкладці) або зловмисне програмне забезпечення (відкривається в новій вкладці) Служби захисту є «надзвичайно поширеними» в наші дні, робить висновок публікація, закликаючи компанії перевіряти свої засоби контролю безпеки та бути пильними, відстежуючи, як (зловживають) використовуються законні виконувані файли.
Незважаючи на те, що Cobalt Strike є законним інструментом, який використовується для тестування на проникнення, він став досить сумно відомим, оскільки ним зловживають зловмисники скрізь. Він поставляється з широким списком функцій, які кіберзлочинці можуть використовувати для визначення цільової мережі непоміченим і переміщення між кінцевими точками, коли вони готуються до викрадення даних і розгортання програм-вимагачів.
Вулиця: BleepingComputer (відкривається в новій вкладці)